procedimiento nº ps/00436/2009 resoluciÓn: r/02515/2009 ... · multa de 60.101,21 € a...

$: Procedimiento Nº PS/00436/2009 RESOLUCIÓN: R/02515/2009 ... · multa de 60.101,21 € a 300.506,05 €, por la comisión de la infracción grave y de 601,01 € a 60.101,21 €$
1/28

Procedimiento Nº PS/00436/2009

RESOLUCIÓN: R/02515/2009

En el procedimiento sancionador PS/00436/2009, instruido por la Agencia Española de Protección de Datos a la entidad AREOSO Y OZORES SC, Discoteca Yacaré, vista la denuncia presentada por D. A.A.A. y en base a los siguientes,

ANTECEDENTES

PRIMERO: Con fecha de 3 de octubre de 2008, tiene entrada en esta Agencia un escrito remitido por Dª B.B.B., en representación de A.A.A., en el que manifiesta que la discoteca Yacaré posee un sistema de vigilancia, por medio de circuito cerrado de cámaras, que graban durante el horario de apertura las incidencias que pueden acometerse en dicho establecimiento.

No se ha informado de la existencia del sistema de videovigilancia ya que carece de cartel informativo.

SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos, teniendo conocimiento de los siguientes extremos:

1. AREOSO Y OZORES SC, titular de la Discoteca YACARÉ, en escrito de fecha 2 de enero de 2009, realiza las siguientes manifestaciones a la solicitud de información del inspector actuante en el presente procedimiento:

- AREOSO Y OZORES SC, contrató a la empresa KRATOS TECHNOLOGIES SL, para instalar un circuito cerrado de cámaras dentro de la discoteca YACARÉ. La instalación aún está en fase de pruebas, restando por instalar o reubicar algunas cámaras, siempre en el interior del local.

- Todas las cámaras se ubican en el interior del establecimiento.

- La finalidad es controlar la actividad durante su funcionamiento, con el objeto de evitar tanto el consumo y tráfico de estupefacientes como la existencia de peleas dentro de local.

- Los monitores se ubican en la cabina del DJ, siendo sólo accesibles para el DJ y para uno de los titulares de la actividad, C.C.C..

- El circuito cerrado tiene una memoria incorporada que graba siempre sobre el mismo soporte, de manera que las imágenes se graban sobre las anteriormente grabadas. Este sistema tarda 3 días en grabar sobre lo anteriormente grabado. No existe ni archivo de imágenes ni tratamiento de datos ya que la grabación constante destruye automáticamente las imágenes existentes de manera que sólo se pueden visionar las 72 horas anteriores.

- Adjuntan copia de los letreros instalados en el establecimiento, acorde al establecido en

c. Jorge Juan 6 28001 Madrid www.agpd.es

la Instrucción 1/2006 y plano en el que se señalan con un punto rojo, las ubicaciones de éstos. El cartel de la entrada se coloca con la apertura de la actividad y se retira al cierre de la misma.

- Las cámaras fueron instaladas por KRATOS TECHNOLOGIES S.L. Los responsables de la discoteca contrataron a esta empresa para instalar y realizar todas las gestiones necesarias para el funcionamiento de las cámaras. Esta empresa fue la que facilitó los carteles y la información sobre la instalación.

- Según consta en el Registro Mercantil Central, KRATOS TECHNOLOGIES, SL es una empresa cuyo objeto social es “Servicios de programación para equipos electrónicos de registro de datos en soporte de entrada para ordenadores, prestación de servicios para estudio y análisis de procesos para su tratamiento mecánico…,”. No consta que dicha empresa sea una empresa de seguridad autorizada.

2. No aporta documentación que acredite que la empresa contratada KRATOS TECHNOLOGIES, S.L. se encuentre registrada como empresa de seguridad en el organismo competente del Ministerio del Interior, ni contrato de prestación de servicios firmado con la misma.

3. No consta en el Registro General de Protección de Datos ficheros inscritos por la entidad responsable AREOSO Y OZORES SC.

TERCERO: En fecha 18 de agosto de 2009 el Director de la Agencia Española de Protección de Datos, acordó iniciar procedimiento sancionador a AREOSO Y OZORES, SC., por la posible infracción de los artículos 6 y 26.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en los sucesivo LOPD), tipificadas como grave y leve respectivamente, en los artículos 44.3.d) y 44.2.c) de dicha norma, pudiendo ser sancionada con multa de 60.101,21 € a 300.506,05 €, por la comisión de la infracción grave y de 601,01 € a 60.101,21 € por la comisión de la infracción leve, de acuerdo con los artículos 45.2 y 45.1 , de la citada Ley Orgánica.

CUARTO: En fecha 21 de septiembre de 2009, D. C.C.C., en calidad de representante de AREOSO Y OZORES, SC, formuló en síntesis, las siguientes alegaciones al acuerdo de inicio:

- Que todas las cámaras se ubican en el interior del establecimiento y su finalidad es controlar la actividad durante su funcionamiento, con el objeto de evitar tanto el consumo y tráfico de estupefacientes como la existencia de peleas dentro de local. Los monitores se ubican en la cabina del DJ, siendo sólo accesibles para el DJ y para uno de los titulares de la actividad, D. C.C.C..

- Que dispone de carteles que informan de la existencia de videovigilancia en la entrada del local, por tanto todas las personas que acceden al mismo están prestando su consentimiento inequívoco.

- Que el sistema destruye las grabaciones automáticamente, no se facilita ni se guarda ningún dato personal.

- AREOSO Y OZORES SC, contrató a la empresa KRATOS TECHNOLOGIES SL, para instalar un circuito cerrado de cámaras dentro de la discoteca YACARÉ. Alega la entidad denunciada que la falsedad de los datos de KRATOS TECHNOLOGIES S.L., al no ser una empresa de seguridad autorizada, no puede servir para sancionar al administrado que en todo caso es una víctima de la referida empresa. Asimismo, manifiesta que la

3/28

falta de trámites o autorizaciones es achacable a esa misma empresa, que se comprometió a gestionar todos los trámites pertinentes.

- Que en el presente supuesto no existe ni un hecho imputable ni reprochable. Menciona, entre otras, las sentencias de TC 246/1991, TS 26/03/1986 y artículo 25 de la CE.

- Que la consecuencia directa de la presunción de inocencia reconocida en el artículo 24 de la CE, no es otra, que el pleno reconocimiento del principio de culpabilidad en el campo del derecho administrativo sancionador.

- Que respecto a la falta de inscripción del fichero de videovigilancia, Kratos Technologies S.L., le informó que no era necesaria la notificación del mismo por estar ante una grabación de tiempo limitado que se destruía automáticamente a las 72 horas.

- Por todo lo expuesto solicita se archive el expediente por inexistencia de ilícito.

- Solicita la apertura de práctica de prueba en la que se pretende aportar la documentación relacionada con KRATOS TECHNOLOGIES S.L., así como interrogatorio que se pretende dirigir a los representantes legales de KRATOS TECHNOLOGIES S.L. Asimismo, solicita se notifique a ésta última, la incoación del presente expediente y se inicien actuaciones de investigación sobre la actuación de KRATOS TECHNOLOGIES S.L.

QUINTO: Transcurrido el plazo de alegaciones que se concedió en el Acuerdo de iniciación del Procedimiento Sancionador nº PS/00436/2009, se acuerda abrir periodo de práctica de pruebas, según lo dispuesto en el artículo artículo17.1 del Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del procedimiento para el ejercicio de la potestad sancionadora.

Se ACUERDA practicar las siguientes pruebas:

1. Se dan por reproducidos a efectos probatorios la denuncia interpuesta por D. A.A.A. y su documentación, los documentos obtenidos y generados por los Servicios de Inspección ante AREOSO Y OZORES SC, y el Informe de actuaciones previas de Inspección que forman parte del expediente E/02208/2008.

2. Asimismo, se da por reproducido a efectos probatorios, las alegaciones al acuerdo de inicio PS/00436/2009 presentadas por AREOSO Y OZORES SC.

3. En cuanto a las pruebas solicitadas por AREOSO Y OZORES SC, relativas a la aportación de documentación relacionada con KRATOS TECHNOLOGIES S.L., así como un interrogatorio que se pretende dirigir a los representantes legales de esta última empresa, se acuerda a tenor de lo establecido en el artículo 17.2 del Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del procedimiento para el ejercicio de la potestad sancionadora, otorgar un plazo de diez días para que se aporte la documentación y facilite el cuestionario de preguntas que desea les sean formuladas a la sociedad, indicando su dirección, todo ello al objeto de determinar la pertinencia de la prueba solicitada y proceder a su práctica.

Respecto a la solicitud de AREOSO Y OZORES SC, relativa a que se les notifique a KRATOS TECHNOLOGIES S.L., la apertura del presente procedimiento, así como se inicien actuaciones de investigación por la Agencia Española de Protección de Datos sobre la actuación de la citada sociedad, deben denegarse las mismas, dado que éstos tienen la consideración en el presente procedimiento de terceros, por lo que las actuaciones respecto


de ellos son y han sido las que esta Agencia ha tenido a bien llevar a cabo, sin que la estimación de dichas solicitudes sea susceptible de modificar o alterar el fondo del asunto. No obstante, si AREOSO Y OZORES SC, estima que la actuación de KRATOS TECHNOLOGIES S.L., ha vulnerado o menoscabado sus intereses o derechos legítimos, tiene a su disposición utilizar los medios legales que considere oportunos, acudiendo al organismo competente en dicha materia, en defensa de los mismos.

SEXTO: En fecha 23 de octubre de 2009, se recibe se recibe escrito del representante de AREOSO Y OZORES SC, aportando factura emitida por KRATOS TECNOLOGIES S.L., y pliego de preguntas para su traslado a éstos, siendo las mismas las siguientes:

- ¿AREOSO Y OZORES SC, con CIF G-70.129.697 y domicilio en la calle Santiago de Chile, 15 de Santiago de Compostela contrató a la empresa KRATOS TECHNOLOGIES S.L., CIF B 70.301.064, con domicilio social en Rúa Oliveira, nave 96 B del Polígono Novo Milladoiro, 15895 de Ames, A Coruña, para instalar un circuito cerrado de cámaras dentro de la discoteca YACARÉ?

- ¿La empresa KRATOS TECNOLOGIES S.L. se obligó a instalar y tramitar las autorizaciones pertinentes?.

- ¿AREOSO Y OZORES SC contrató a KRATOS TECHNOLOGIES S.L., para instalar y realizar todas las gestiones necesarias para el funcionamiento de las cámaras, siendo esta empresa la que facilitó los carteles y la información sobre la instalación?.

- ¿La finalidad era controlar la actividad durante su funcionamiento, con el objeto de evitar tanto el consumo y tráfico de estupefacientes como la existencia de peleas dentro del local?.

- ¿Se colocaron letreros, que permanecen, en el local y un cartel en la entrada informando de la existencia de cámaras de videovigilancia?.

- ¿AREOSO Y OZORES SC, no dispone ni de archivo de imágenes ni tratamiento de datos ya que la grabación constante destruye automáticamente las imágenes existentes de manera que sólo se pueden visionar las 72 horas anteriores?.

SÉPTIMO: En fecha 27 de octubre de 2009, se envía escrito solicitando la colaboración de KRATOS TECHNOLOGIES S.L, para que en el plazo de cinco días hábiles, proceda a la contestación del pliego de preguntas solicitadas, recibiéndose en fecha 9 de noviembre de 2009, la siguiente contestación a las preguntas formuladas:

- Contestación a la 1ª pregunta: “Sí”.

- Contestación a la 2ª pregunta: “La empresa KRATOS TECHNOLOGIES S.L. se obligó a realizar la instalación y a informarse de los trámites necesarios. Si fuesen necesarios trámites administrativos KRATOS TECHNOLOGIES S.L. sufragaría los gastos de los mismos subcontratando a una empresa para tal fin.

En ese momento y antes de poner en funcionamiento la instalación de videovigilancia KRATOS TECHNOLOGIES S.L. se pone en contacto con la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS explicándole el caso concreto de la instalación de cámaras de AREOSO Y OZORES S.C. para que dicha agencia aclarase los trámites a seguir. En ese momento la respuesta de la agencia para este tipo de instalaciones que no están conectadas a centrales de alarma y que no tienen acceso a las mismas más que el responsable (AREOSO Y OZORES S.C), y tratándose de que no había ficheros de grabación nos contestaron que no era necesario su alta en la agencia pero si informar con carteles”.

- Contestación a la 3ª pregunta:”Si, KRATOS TECHNOLOGIES S.L. fue la empresa que

5/28

realizó la instalación y surtió de los carteles informativos para su colocación a la empresa AREOSO Y OZORES S.C.”

- Contestación a la 4ª pregunta: “Si, en efecto el sistema estaba destinado a tal fin, y se trataba de un sistema cerrado de video. Es decir, no estaba conectado a ninguna central de vigilancia externa ni alarma”.

- Contestación a la 5ª pregunta:” Sí, se colocaron carteles informativos repartidos por todo el local incluyendo uno en la puerta de entrada. Dichos carteles estaban en la puesta en funcionamiento de la instalación y seguían puestos en sucesivas revisiones presenciales realizadas por KRATOS TECHNOLOGIES S.L”.

- Contestación a la 6ª pregunta:”Efectivamente, se trata de un sistema autónomo que destruye automáticamente y de forma cíclica las imágenes por lo que no existe un archivo de imágenes”.

OCTAVO: En fecha 17 de noviembre de 2009, el Instructor del Procedimiento emitió Propuesta de Resolución, en la que se propone que por el Director de la Agencia Española de Protección de Datos, se sancione a AREOSO Y OZORES SC, con multa de 2.500 euros (dos mil quinientos euros) por la infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, y con multa de 2.000 €(dos mil euros), por la infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, dándose traslado a ésta para que en el plazo máximo de quince días hábiles presentara alegaciones.

NOVENO: En fecha 11 de diciembre de 2009, D. C.C.C., en calidad de representante de AREOSO Y OZORES, SC, formuló las siguientes alegaciones a la Propuesta de Resolución, reiterándose básicamente, en las manifestadas al Acuerdo de Inicio:

- Que todas las cámaras se ubican en el interior del establecimiento y su finalidad es controlar la actividad durante su funcionamiento, con el objeto de evitar tanto el consumo y tráfico de estupefacientes como la existencia de peleas dentro de local. Los monitores se ubican en la cabina del DJ, siendo sólo accesibles para el DJ y para uno de los titulares de la actividad, D. C.C.C..

- Que dispone de carteles que informan de la existencia de videovigilancia en la entrada del local, por tanto todas las personas que acceden a un lugar cerrado, como en el presente expediente, implica la aceptación de sus normas internas, así como el consentimiento inequívoco del afectado.

- Que la denuncia tiene su origen, no en la existencia de las cámaras, sino en la colaboración que los dueños del local prestaron a la Policía Nacional.

- AREOSO Y OZORES SC, contrató a la empresa KRATOS TECHNOLOGIES SL, para instalar un circuito cerrado de cámaras dentro de la discoteca YACARÉ. Alega la entidad denunciada que la falsedad de los datos de KRATOS TECHNOLOGIES S.L., al no ser una empresa de seguridad autorizada, no puede servir para sancionar al administrado que en todo caso es una víctima de la referida empresa. Asimismo, manifiesta que la falta de trámites o autorizaciones es achacable a esa misma empresa, que se comprometió a gestionar todos los trámites pertinentes.

- Que los registros de empresas de seguridad del Ministerio del Interior no son públicos.

- Que en el presente supuesto no existe ni un hecho imputable ni reprochable. Menciona,


entre otras, las sentencias de TC 246/1991, TS 26/03/1986, Sentencia 8 de junio de 1976 del Tribunal de Derechos Humanos del Consejo de Europa y el artículo 25 de la CE.

- Que la consecuencia directa de la presunción de inocencia reconocida en el artículo 24 de la CE, no es otra, que el pleno reconocimiento del principio de culpabilidad en el campo del derecho administrativo sancionador. Menciona, entre otras, la sentencia del Tribunal Constitucional 76/1990, de 26 de abril; sentencia del T.S de 22 de noviembre de 1987 Y 22 de noviembre de 1988.

- Que respecto a la falta de inscripción del fichero de videovigilancia, Kratos Technologies S.L., le informó que no era necesaria la notificación del mismo por estar ante una grabación de tiempo limitado que se destruía automáticamente a las 72 horas, siendo este hecho reconocido por la propia empresa. Que el sistema destruye las grabaciones automáticamente, no se facilita ni se guarda ningún dato personal.

- Que las serias dudas sobre si existe o no un fichero en el presente expediente genera una ambigüedad, que impide sancionar al alegante.

- Por todo lo expuesto solicita se archive el expediente por inexistencia de ilícito.

NOVENO: De las actuaciones llevadas a cabo en el presente procedimiento, han quedado acreditados los siguientes

HECHOS PROBADOS

PRIMERO: Consta que con fecha de 3 de octubre de 2008, tiene entrada en esta Agencia un escrito remitido por Dª B.B.B., en representación de A.A.A., en el que manifiesta que la discoteca Yacaré posee un sistema de vigilancia por medio de circuito cerrado de cámaras que graban, durante el horario de apertura, las incidencias que pueden acometerse en dicho establecimiento. No se ha informado de la existencia del sistema de videovigilancia ya que carece de cartel informativo.(Folio 1 y 2).

SEGUNDO: Consta que la entidad responsable del establecimiento es AREOSO Y OZORES SC, con CIF G70129697. (Folio 15 y 16).

TERCERO: Todas las cámaras se ubican en el interior del establecimiento y su finalidad es controlar la actividad durante su funcionamiento, con el objeto de evitar tanto el consumo y tráfico de estupefacientes como la existencia de peleas dentro de local. Los monitores se ubican en la cabina del DJ, siendo sólo accesibles para el DJ y para uno de los titulares de la actividad, D. C.C.C.. El circuito cerrado tiene una memoria incorporada que graba siempre sobre el mismo soporte, de manera que las imágenes se graban sobre las anteriormente grabadas. Este sistema tarda 3 días en grabar sobre lo anteriormente grabado. (Folio 16 y 17).

CUARTO: Consta copia de los letreros instalados en el establecimiento, acordes al establecido en la Instrucción 1/2006 y plano en el que se señalan, las ubicaciones de éstos.(Folio 18 y 19).

QUINTO: Las cámaras fueron instaladas, según manifestaciones del representante de la citada entidad, por KRATOS TECHNOLOGIES S.L. Según consta en el Registro Mercantil Central, KRATOS TECHNOLOGIES, S.L., es una empresa cuyo objeto social es “Servicios de programación para equipos electrónicos de registro de datos en soporte de entrada para ordenadores, prestación de servicios para estudio y análisis de procesos para su tratamiento mecánico…,”. No aporta

7/28

documentación que acredite que la empresa contratada KRATOS TECHNOLOGIES, S.L., se encuentre registrada como empresa de seguridad en el organismo competente del Ministerio del Interior, ni contrato de prestación de servicios firmado con la misma. (Folio 16 , 17, y 20).

SEXTO: No consta en el Registro General de Protección de Datos ficheros inscritos por la entidad responsable AREOSO Y OZORES SC,(Folio 23 a 27).

SÉPTIMO: Consta información aportada por la empresa KRATOS TECHNOLOGIES S.L., en la que manifiesta lo siguiente: “La empresa KRATOS TECHNOLOGIES S.L. se obligó a realizar la instalación y a informarse de los trámites necesarios. Si fuesen necesarios trámites administrativos KRATOS TECHNOLOGIES S.L. sufragaría los gastos de los mismos subcontratando a una empresa para tal fin.

En ese momento y antes de poner en funcionamiento la instalación de videovigilancia KRATOS TECHNOLOGIES S.L. se pone en contacto con la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS explicándole el caso concreto de la instalación de cámaras de AREOSO Y OZORES S.C. para que dicha agencia aclarase los trámites a seguir. En ese momento la respuesta de la agencia para este tipo de instalaciones que no están conectadas a centrales de alarma y que no tienen acceso a las mismas más que el responsable (AREOSO Y OZORES S.C), y tratándose de que no había ficheros de grabación nos contestaron que no era necesario su alta en la agencia pero si informar con carteles”.

Que “, KRATOS TECHNOLOGIES S.L. fue la empresa que realizó la instalación y surtió de los carteles informativos para su colocación a la empresa AREOSO Y OZORES S.C.”

Que el sistema instalado es un sistema cerrado de video. Es decir, no estaba conectado a ninguna central de vigilancia externa ni alarma.

Que, “se colocaron carteles informativos repartidos por todo el local incluyendo uno en la puerta de entrada. Dichos carteles estaban en la puesta en funcionamiento de la instalación y seguían puestos en sucesivas revisiones presenciales realizadas por KRATOS TECHNOLOGIES S.L”.

Que “ se trata de un sistema autónomo que destruye automáticamente y de forma cíclica las imágenes por lo que no existe un archivo de imágenes”.(Folio 51, 52).

FUNDAMENTOS DE DERECHO

I

Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD.

II

Con carácter previo al análisis del artículo 6.1 y 26.1 LOPD, cuya vulneración se imputa a AREOSO Y OZORES SC, procede entrar a situar el contexto normativo en el que se ubica la materia de videovigilancia.

La LOPD viene a regular el derecho fundamental a la protección de datos de las personas físicas, esto es, el derecho a disponer de sus propios datos sin que puedan ser utilizados, tratados o cedidos sin su consentimiento, con la salvedad de las excepciones legalmente previstas.


Así, el artículo 1 de la LOPD dispone: “La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”.

El artículo 2.1 de la LOPD señala: “La presente Ley Orgánica será de aplicación a los datos

de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”; definiéndose el concepto de dato de carácter personal en el apartado a) del artículo 3 de la LOPD, como “Cualquier información concerniente a personas físicas identificadas o identificables”.

El artículo 3 de la LOPD define en su letra c) el tratamiento de datos como aquellas “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.

La garantía del derecho a la protección de datos, conferida por la normativa de referencia, requiere que exista una actuación que constituya un tratamiento de datos personales en el sentido expresado. En otro caso las mencionadas disposiciones no serán de aplicación.

De acuerdo con aquella definición de tratamiento de datos personales, la captación de imágenes de las personas, constituye un tratamiento de datos personales incluido en el ámbito de aplicación de la normativa citada.

El artículo 5.1. f) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, define datos de carácter personal como: “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a personas físicas identificadas o identificables”.

En este mismo sentido se pronuncia el artículo 2.a) de la Directiva 95/46/CE del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la Protección de las Personas Físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, según el cual, a efectos de dicha Directiva, se entiende por dato personal “toda información sobre una persona física identificada o identificable; se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social”. Asimismo, el Considerando 26 de esta Directiva se refiere a esta cuestión señalando que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona para identificar a aquélla.

Atendiendo a la definición contenida en las normas citadas, que considera dato de carácter personal “cualquier información concerniente a personas físicas identificadas o identificables”, las captaciones de imágenes indicadas se ajustarán a este concepto siempre que permitan la identificación de las personas que aparecen en dichas imágenes. La Directiva 95/46/CE en su Considerando 14 lo afirma expresamente al señalar:

“(14)Considerando que, habida cuenta de la importancia que, en el marco de la sociedad de

9/28

la información, reviste el actual desarrollo de las técnicas para captar, transmitir, manejar, registrar, conservar o comunicar los datos relativos a las personas físicas constituidos por sonido e imagen, la presente Directiva habrá de aplicarse a los tratamientos que afectan a dichos datos;”.

Es claro, pues, que para el legislador comunitario la imagen personal es un dato de carácter personal sujeto al régimen de protección establecido en la Directiva cuando se efectúe tratamiento sobre ella.

En nuestro país la STC 14/2003, de 30 de enero, entró en el análisis de esta cuestión. El Tribunal Constitucional tras recordar que, en su dimensión constitucional, el derecho a la propia imagen proclamado en el artículo 18.1 CE se configura como un derecho de la personalidad, derivado de la dignidad humana y dirigido a proteger la dimensión moral de las personas, que atribuye a su titular un derecho a determinar la información gráfica generada por sus rasgos físicos personales que puede tener difusión pública, consideró que la facultad otorgada por este derecho, en tanto que derecho fundamental, consiste en esencia en impedir la obtención, reproducción o publicación de la propia imagen por parte de un tercero no autorizado, sea cual sea la finalidad-informativa, comercial, científica, cultural, etc.- perseguida por quien la capta o difunde. (SSTC 81/2001, de 26 de marzo, FJ 2; 139/2001, de 18 de junio, FJ 4; 83/2002, de 22 de abril, FJ 4).

Desde la perspectiva de la protección de datos de carácter personal, esta Sentencia del Tribunal Constitucional considera que la fotografía es un dato de carácter personal sujeto al régimen legal de protección, doctrina extensible a todos los medios de reproducción de imagen.

Por su parte, la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras (en lo sucesivo Instrucción 1/2006), en sus artículos 1.1 y 2 señala lo siguiente:

“Artículo 1.1. La presente Instrucción se aplica al tratamiento de datos personales de imágenes de personas físicas identificadas o identificables, con fines de vigilancia a través de sistemas de cámaras y videocámaras.El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con aquéllas.Se considerará identificable una persona cuando su identidad pueda determinarse mediante los tratamientos a los que se refiere la presente instrucción, sin que ello requiera plazos o actividades desproporcionados.Las referencias contenidas en esta Instrucción a videocámaras y cámaras se entenderán hechas también a cualquier medio técnico análogo y, en general, a cualquier sistema que permita los tratamientos previstos en la misma.”

“Artículo 2.

1. Sólo será posible el tratamiento de los datos objeto de la presente instrucción, cuando se encuentre amparado por lo dispuesto en el artículo 6.1 y 2 y el artículo 11.1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.2. Sin perjuicio de lo establecido en el apartado anterior la instalación de cámaras y videocámaras deberá respetar en todo caso los requisitos exigidos por la legislación vigente en la materia.”

De acuerdo con los preceptos transcritos, la cámara reproduce la imagen de los afectados por este tipo de tratamientos y, a efectos de la LOPD, la imagen de una persona constituye un dato


de carácter personal, toda vez que la información que capta concierne a personas y suministra información sobre la imagen personal de éstas, el lugar de su captación y la actividad desarrollada por el individuo al que la imagen se refiere.

El Grupo de protección de las personas, en lo que respecta al tratamiento de datos personales, creado en virtud del artículo 29 de la citada Directiva 95/46/CE, en su Dictamen 4/2004, adoptado en fecha 11/02/2004, relativo al tratamiento de datos personales mediante vigilancia por videocámara, formula distintos criterios para evaluar la legalidad y conveniencia de instalar sistemas de captación de imágenes en zonas públicas.

Para determinar si el supuesto que se analiza implican el tratamiento de datos relacionados con personas identificables, el citado Grupo considera que los datos constituidos por imagen y sonido son personales aunque las imágenes se utilicen en el marco de un sistema de circuito cerrado y no estén asociados a los datos personales del interesado, incluso, si no se refieren a personas cuyos rostros hayan sido filmados, e independientemente del método utilizado para el tratamiento, la técnica, el tipo de equipo, las características de la captación de imágenes y las herramientas de comunicación utilizadas. A efectos de la Directiva, se añade, el carácter identificable también puede resultar de la combinación de los datos con información procedente de terceras partes o, incluso, de la aplicación, en el caso individual, de técnicas o dispositivos específicos.

En cuanto a las obligaciones y precauciones que deberán respetarse por los responsables del tratamiento de los datos se mencionan, entre otras, la de evitar las referencias inadecuadas a la intimidad; especificar de forma clara e inequívoca los fines perseguidos con el tratamiento y otras características de la política de privacidad (momento en que se borran las imágenes, peticiones de acceso); obtención del consentimiento del interesado basado en una información clara; mantener la necesaria proporcionalidad entre los datos y el fin perseguido, obligándose al empleo de sistemas idóneos con respecto a dicho fin y a minimizar los datos por parte del responsable del tratamiento; datos que han de ser adecuados, pertinentes y no excesivos y deberán retenerse durante un plazo en consonancia con las características específicas de cada caso.

En el caso que nos ocupa, el establecimiento Discoteca Yacaré, cuenta con un sistema de videovigilancia repartido por el interior del establecimiento, que almacena las últimas setenta y dos horas de grabación, permitiendo la visualización en tiempo real de las zonas acotadas objeto de protección y la reproducción de la imagen de los afectados por este tipo de tratamiento, hecho que en este supuesto afecta, tanto a los trabajadores, como clientes y terceros que acceden a su interior. Asimismo, las cámaras emiten las imágenes a los monitores ubicados en la cabina del DJ, siendo visionados por éste y por uno de los titulares de la actividad. Es decir, ya que a efectos de la LOPD la imagen de una persona constituye un dato de carácter personal, nos encontramos ante un tratamiento que cae bajo la órbita de la normativa de protección de datos de carácter personal, toda vez que la información que captan las mencionadas videocámaras y después se graba contiene, entre otra información, datos concernientes a personas identificadas o identificables dado el entorno en el que se recogen y graban, y sobre las que suministran información relativa a la imagen personal de éstas, el lugar de su captación y la actividad o conducta desarrollada por los individuos a las que las imágenes se refieren.

Así, de conformidad con la normativa y jurisprudencia expuesta, la captación y grabación de imágenes a través de videocámaras, como es el caso que nos ocupa, constituye un tratamiento de datos personales, cuyo responsable se identifica, en el presente caso, con AREOSO Y OZORES SC, como responsable del establecimiento donde se encuentran instaladas la videocámaras, toda vez que es aquélla la que decide sobre la finalidad, contenido y uso del citado tratamiento. Dicho

11/28

establecimiento, como se desarrollará más adelante, carecía de legitimación para el tratamiento de las imágenes de todas las personas que accedieran al mismo, realizando un tratamiento de datos personales sin cumplir la normativa reguladora de protección de datos.

III

La vigente LOPD atribuye la condición de responsables de las infracciones a los responsables de los ficheros (art. 43), concepto que debe integrarse con la definición que de los mismos recoge el artículo 3.d), de la misma. Este precepto, innovando respecto de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de los datos de carácter personal, incluye en el concepto de responsable tanto al que lo es del fichero como al del tratamiento de datos personales. Conforme al citado artículo 3.d) de la LOPD, el responsable del fichero o del tratamiento es “la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”.

Así de conformidad con las definiciones recogidas en la normativa de protección de datos expuesta, la captación y grabación de imágenes a través de videocámaras, como es el caso que nos ocupa, constituye un tratamiento de datos personales, cuyo responsable se identifica, en este supuesto, con AREOSO Y OZORES SC, como entidad que, en primer lugar, ha decidido la instalación de las reseñadas videocámaras con fines de vigilancia en los lugares que ya han sido reseñados, y, en segundo lugar, ha dispuesto sobre la finalidad, contenido y uso del citado tratamiento de imágenes.

En consecuencia, AREOSO Y OZORES SC, es, por un lado, la responsable del tratamiento de las imágenes que incluyan datos de carácter personal que son captadas y transmitidas por las cámaras que integran el sistema de seguridad privada instalado con fines de videovigilancia, y, por otro lado, es responsable del fichero resultante del tratamiento de las imágenes conservadas, grabadas o reproducidas en el disco duro del correspondiente dispositivo de seguridad, estando, por tanto, dicha entidad sujeta al régimen de responsabilidad recogido en el Título VII de la LOPD.

IV

En primer lugar, antes de entrar a analizar y resolver las alegaciones formuladas por AREOSO Y OZORES SC, tanto al Acuerdo de Inicio como a la Propuesta de Resolución, se debe entrar a valorar el cumplimiento del deber de información por parte de la entidad denunciada.

Así, el tratamiento de las imágenes por parte del responsable, obliga a que se cumpla con el deber de informar a los afectados, en los términos establecidos en el artículo 5.1 de la LOPD, el cual reza lo siguiente:

“1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.


d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de tránsito, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento”.

La obligación que impone este artículo 5 es, por tanto, la de informar al afectado en la recogida de datos, pues sólo así queda garantizado el derecho del afectado a tener una apropiada información y a consentir o no el tratamiento, en función de aquélla.

La Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, que delimita el contenido esencial del derecho fundamental a la protección de los datos personales, ha destacado la importancia del derecho de información en la recogida de datos, como un elemento indispensable de este derecho, en los siguientes términos: “De suerte que, sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (art. 5 LOPD) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia”.

Y añade la citada Sentencia que “el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. Y ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos.

En fin, son elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Y resultan indispensables para hacer efectivo ese contenido el reconocimiento del derecho a ser informado de quién posee sus datos personales y con qué fin, y, el derecho a poder oponerse a esa posesión y uso requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos. Es decir, exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que rectifique o los cancele”.

De ello cabe concluir que la vigente LOPD ha acentuado las garantías precisas para el tratamiento de los datos personales, vinculando el consentimiento del afectado a la información previa que reciba.

13/28

En cuanto al modo en que hay de facilitarse la información recogida en el artículo 5 de la LOPD, debe tenerse en cuenta el artículo 3 de la Instrucción 1/2006, que establece lo siguiente:

“Los responsables que cuenten con sistemas de videovigilancia deberán cumplir con el deber de información previsto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre. A tal fin deberán:

a) Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y

b) Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.

El contenido y el diseño del distintivo informativo se ajustará a lo previsto en el Anexo de esta Instrucción.”

“ANEXO- 1. El distintivo informativo a que se refiere el artículo 3.a) de la presente Instrucción deberá de incluir una referencia a la «LEY ORGÁNICA 15/1999, DE PROTECCIÓN DE DATOS», incluirá una mención a la finalidad para la que se tratan los datos («ZONA VIDEOVIGILADA»), y una mención expresa a la identificación del responsable ante quien puedan ejercitarse los derechos a los que se refieren los artículos 15 y siguientes de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.”

En el caso que nos ocupa, la Discoteca Yacaré, tiene instalado un sistema de videovigilancia compuesto por cámaras repartidas por el interior del establecimiento, con grabación para 72 horas. De acuerdo a la normativa reguladora en materia de protección de datos, el titular del tratamiento queda obligado a informar de la existencia de las cámaras. Así, la sociedad denunciada, según el plano aportado de ubicación de las cámaras, cuenta con cinco carteles informativos repartidos por el establecimiento, uno de ellos instalado en el acceso al establecimiento, acordes al que hace referencia el citado artículo 3.a) de la Instrucción 1/2006, en relación al artículo 5 de la LOPD.

Respecto a la ubicación del cartel informativo, no es necesario que se coloque debajo de la

cámara, será suficiente conforme a lo dispuesto en el artículo 3 a) de la citada Instrucción, colocar el distintivo informativo en lugar suficientemente visible, tanto en espacios abiertos como cerrados, siendo aconsejable que tratándose de establecimientos sometidos a videovigilancia, como es el caso que nos ocupa, en la entrada del mismo, se ubique un cartel informativo.

V

Siguiendo una lógica elemental, procede entrar en el análisis de las alegaciones formuladas por el representante de AREOSO Y OZORES SC.

- Respecto a las alegaciones, tanto al Acuerdo de Inicio como a la Propuesta de Resolución,

formuladas por el representante de AREOSO Y OZORES SC, relativas a que dispone de carteles que informan de la existencia de videovigilancia en la entrada del local lo que implica, que las personas que acceden al mismo, están prestando su consentimiento inequívoco, hay que señalar que una cosa es el derecho de los afectados por este tipo de tratamientos a tener una apropiada información y otra distinta es la prestación o no de su consentimiento.

Así, para que exista consentimiento, elemento base en el tratamiento de los datos, deben


concurrir los requisitos legalmente previstos para considerar que se ha obtenido libremente el consentimiento. El artículo 3 h) de la LOPD lo define como “Toda manifestación de voluntad libre, inequívoca, específica e informada mediante la que el interesado consienta el tratamiento de datos personales que el conciernen”.

Del concepto de consentimiento se desprende la necesaria concurrencia para que el mismo pueda ser considerado conforme a derecho de los cuatro requisitos enumerados en dicho precepto. Un adecuado análisis del concepto exigirá poner de manifiesto cuál es la interpretación que ha de darse a estas cuatro notas características del consentimiento, tal y como la misma ha indicado en numerosas Resoluciones de la AEPD, siguiendo a tal efecto los criterios sentados en las diversas recomendaciones emitidas por el Comité de Ministros del Consejo de Europa en relación con la materia que nos ocupa. A la luz de dichas recomendaciones, el consentimiento habrá de ser:

a) Libre, lo que supone que el mismo deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil.

b) Específico, es decir referido a un determinado tratamiento o serie de tratamientos concretos y en el ámbito de las finalidades determinadas, explícitas y legítimas del responsable del tratamiento, tal y como impone el artículo 4.2 de la LOPD.

c) Informado, es decir que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce. Precisamente por ello el artículo 5.1 de la LOPD impone el deber de informar a los interesados de una serie de extremos que en el mismo se contienen.

d) Inequívoco, lo que implica que no resulta admisible deducir el consentimiento de los meros actos realizados por el afectado.

La Jurisprudencia de la Audiencia Nacional ha entendido que los requisitos del consentimiento, se agotan en la necesidad de que este sea “inequívoco”, es decir, que no exista duda alguna sobre la prestación de dicho consentimiento, de manera que en esta materia el legislador, mediante el articulo 6.1 de la LO de tanta cita, acude a un criterio sustantivo, esto es, nos indica que cualquiera que sea la forma que revista el consentimiento, éste ha de aparecer como evidente, inequívoco – que no admite duda o equivocación- , pues éste y no otro es el significado del adjetivo utilizado para calificar al consentimiento.

Por tanto, el establecimiento de presunciones de consentimiento establecidas por la entidad denunciada, en base a que las personas que acceden al local están prestando su consentimiento, al estar el local debidamente señalizado con carteles informativos, resulta irrelevante, pues dar carta de naturaleza a este tipo de interpretaciones pulverizaría esta exigencia esencial del consentimiento, porque dejaría de ser inequívoco para ser “equívoco”, es decir, su interpretación admitiría varios sentidos y, por esta vía, se desvirtuaría la naturaleza y significado que desempeña como garantía en la proteccion de los datos, e incumpliría la finalidad que está llamado a verificar, esto es, que el poder de disposición de los datos corresponde únicamente a su titular. Es este el sentido recogido en la Sentencia de la Audiencia Nacional de 21 de noviembre de 2007 ( Rec 356/2006) en su Fundamento de Derecho Quinto.

15/28

Ello es así en la medida que la jurisprudencia ha reiterado (Sentencias de 20 de julio de 2006 [RJ 2006, 4738] y 10 de junio de 2005 [RJ 2005, 4364], entre muchas otras), que «los hechos determinantes de la apreciación del consentimiento han de ser inequívocos -"falta concludentia"-, es decir, que con toda evidencia los signifiquen -S. 7 junio 1986 (RJ 1986, 3296)-, sin posibilidad de dudosas interpretaciones -SS. 5 julio 1960, 14 junio 1963, 13 febrero 1978-», lo cual implica a su vez, que también sea un criterio consolidado en la doctrina a la hora de valorar el silencio como consentimiento tácito que «generalmente el mero conocimiento no implica conformidad, ni basta el mero silencio para entender que se produjo la aquiescencia (pese a la máxima "tacite consensu convenire intelligitur", Paulo, Libro II, Tit. XIV, 2 Digesto; S. 13 febrero 1978)...».

Por lo tanto, a la vista de lo expuesto, de la existencia de carteles informativos en el establecimiento, no se puede inferir un consentimiento por parte de las personas captadas por dichas cámaras al tratamiento de sus imágenes, como alega la entidad denunciada. Tiene que diferenciarse claramente el deber de información de la prestación de consentimiento, dado que la existencia de la primera no conlleva implícitamente la obtención de la segunda.

En este sentido, se ha pronunciado esta Agencia Española de Protección de Datos, en su informe nº 0041/2008 al recoger: “ La consulta plantea cómo habrá de obtenerse el consentimiento respecto de las grabaciones obtenidas a través de cámaras de videovigilancia de conformidad con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal y la Instrucción 1/2006 de 8 de noviembre de 2006, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

En primer lugar, se plantea la posibilidad de obtener el consentimiento tácito, en esta materia, lo que exige tener en cuenta lo dispuesto en el artículo 6.1 de la Ley Orgánica 15/1999 que señala lo siguiente “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

Por otro lado, respecto a la forma de obtener el consentimiento, es necesario acudir a lo dispuesto en del Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la Ley Orgánica 15/1999, donde en el artículo 14, se regulan las formas de obtener el consentimiento señalando que “1. El responsable del tratamiento podrá solicitar el consentimiento del interesado a través del procedimiento establecido en este artículo, salvo cuando la Ley exija al mismo la obtención del consentimiento expreso para el tratamiento de los datos.

2. El responsable podrá dirigirse al afectado, informándole en los términos previstos en los artículos 5 de la Ley Orgánica 15/1999, de 13 de diciembre y 12.2 de este reglamento y deberá concederle un plazo de treinta días para manifestar su negativa al tratamiento, advirtiéndole de que en caso de no pronunciarse a tal efecto se entenderá que consiente el tratamiento de sus datos de carácter personal.

En particular, cuando se trate de responsables que presten al afectado un servicio que genere información periódica o reiterada, o facturación periódica, la comunicación podrá llevarse a cabo de forma conjunta a esta información o a la facturación del servicio prestado, siempre que se realice de forma claramente visible.

3. En todo caso, será necesario que el responsable del tratamiento pueda conocer si la comunicación ha sido objeto de devolución por cualquier causa, en cuyo caso no podrá proceder al tratamiento de los datos referidos a ese interesado.


4. Deberá facilitarse al interesado un medio sencillo y gratuito para manifestar su negativa al tratamiento de los datos. En particular, se considerará ajustado al presente reglamento los procedimientos en el que tal negativa pueda efectuarse, entre otros, mediante un envío prefranqueado al responsable del tratamiento, la llamada a un número telefónico gratuito o a los servicios de atención al público que el mismo hubiera establecido.

5. Cuando se solicite el consentimiento del interesado a través del procedimiento establecido en este artículo, no será posible solicitarlo nuevamente respecto de los mismos tratamientos y para las mismas finalidades en el plazo de un año a contar de la fecha de la anterior solicitud.”

El procedimiento descrito en el artículo 14 del Real Decreto 1720/2007, es el único que puede entenderse válido a la hora de obtener el consentimiento tácito y resulta de aplicación imposible cuando se trata de grabaciones o reproducciones en tiempo real de imágenes. En consecuencia, podemos concluir que en materia de videovigilancia resulta prácticamente imposible obtener el consentimiento, de las personas cuyas imágenes capten las cámaras por lo que es preciso acudir a una ley que habilite el tratamiento.”

A la vista de lo expuesto, debe desestimarse las alegaciones formuladas a este respecto.

- Respecto a las alegaciones formuladas por la entidad recurrente, relativas a que las imágenes se graban sobre las anteriormente grabadas, no existiendo ni archivo de imágenes ni tratamiento de datos ya que la grabación constante, destruye automáticamente las imágenes existentes, de manera que sólo puede visionarse las 72 horas anteriores, hay que señalar que las cámaras de videovigilancia aunque no graben, que no es el caso que nos ocupa, recogen imágenes, lo que en definitiva supone un tratamiento de datos, según lo dispuesto en el artículo 3. c) de la LOPD, donde se define el tratamiento de datos como “operaciones y procedimientos técnicos de carácter automatizado o no, que permiten la recogida, grabación, conservación, elaboración, modificación, bloque y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.

Así, en el apartado c) del artículo 37 de la LOPD, se recoge como función de la Agencia la de dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la Ley. En el artículo 5 del Estatuto de la Agencia se desarrolla esta previsión, distinguiendo entre la colaboración con los órganos competentes en lo que afecta al desarrollo normativo de la propia Ley, esto es, con el Gobierno para el desarrollo reglamentario, y la potestad normativa propia, dictando instrucciones y recomendaciones precisas para adecuar los tratamientos a los principios de la LOPD, así como recomendaciones de aplicación de disposiciones legales y reglamentarias en materia de seguridad de los datos y control de acceso a los ficheros, correspondiendo esta potestad reglamentaria al Director de la Agencia.

Por lo tanto, en el ejercicio de la competencia que le atribuye el citado artículo 37.1.c) de la LOPD, la Agencia Española de Protección de Datos dictó la Instrucción 1/2006, de 8 de noviembre, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, para adecuar los tratamientos de imágenes con fines de vigilancia a los principios de la citada Ley Orgánica y garantizar los derechos de las personas cuyas imágenes son tratadas con tales procedimientos.

Así el criterio establecido respecto a esta materia en la LOPD, se complementa con lo dispuesto en el artículo 1 de la Instrucción 1/2006 donde se delimita el ámbito subjetivo de ésta

17/28

señalando que:

“1. La presente Instrucción se aplica al tratamiento de datos personales de imágenes de personas físicas identificadas o identificables, con fines de vigilancia a través de sistemas de cámaras y videocámaras.

El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los daros personales relacionados con aquéllas”.

Por otro lado, el artículo 5.1. t) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, define el tratamiento de datos como “cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.”

Así, esta norma reglamentaria nace con la vocación de no reiterar los contenidos de la norma superior y de desarrollar, no sólo los mandatos contenidos en la LOPD, de acuerdo con los principios que emanan de la Directiva, sino también aquellos que en estos años de vigencia de la ley se ha demostrado que precisan de un mayor desarrollo normativo.

La propia Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, define en el artículo 2b) el tratamiento de datos personales como “cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción.”

Para mayor abundamiento la Sentencia de la Audiencia Nacional de 24/01/2003, al tratar la cuestión de lo que se entiende por tratamiento de datos, manifiesta: “El artículo 3.c) de la Ley Orgánica 15/1999 define el “tratamiento de datos” como operaciones y operaciones y procedimientos técnicos de carácter automatizado o no, que permiten la recogida, grabación, conservación, elaboración, modificación, bloque y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Partiendo de esta definición, esta Sala considera que no cabe excluir que haya existido, por el hecho de que las imágenes cambiantes cada quince segundos no queden guardadas ni registradas en archivo alguno, pues según el precepto que acabamos de transcribir el tratamiento no exige la conservación de los datos, bastando con su recogida o grabación…”.

Por tanto a la vista de la normativa expuesta, la reproducción de imágenes a tiempo real, aunque éstas no se graben, suponen un tratamiento de datos personales al amparo no sólo desde el ámbito de aplicación de la Instrucción 1/2006, sino de la Ley Orgánica 15/1999. Ahora bien, sobre la cuestión sobre si este tipo de tratamiento, genera o no fichero, es preciso indicar que el artículo 7.2 de la Instrucción 1/2006, establece: “A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real”.

En consecuencia, al amparo de lo dispuesto en los artículos 3 y 7.2 de la Instrucción 1/2006, la utilización de sistemas de videocámaras con fines de seguridad, que no graban imágenes,


constituyen un tratamiento de datos que obliga a informar del mismo, pero no genera ningún fichero, si bien esto no exime del cumplimiento del resto de deberes establecidos por la LOPD y la Instrucción 1/2006.

Sin embargo, en el caso que nos ocupa las imágenes son grabadas y conservadas durante un período de 3 días, por lo tanto la entidad AREOSO Y OZORES SC, titular del establecimiento denunciado, no sólo realizaba un tratamiento de datos sino que el citado tratamiento, en contra de lo alegado por la misma, generaba un fichero, debiendo haber procedido a la inscripción del mismo, en el Registro General de Protección de Datos.

Respecto al concepto de fichero, la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, definió en su artículo 2 el fichero como “todo conjunto estructurado de datos personales accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica”, permitiendo a los Estados que regulen los criterios que permitan determinar los elementos de un conjunto estructurado de datos y los distintos criterios que regulan el acceso a dicho conjunto de datos.

La LOPD al establecer el concepto de fichero en su artículo 3.b) configura a éste como “todo conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso”, sin recoger distinción alguna entre ficheros manuales y ficheros automatizados.

El Reglamento de protección de datos de carácter personal, ha aportado, a efectos de clarificación del ámbito objetivo de la LOPD, la siguiente definición de fichero, en su artículo 5.1 k :

“Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.”

El concepto de tratamiento de datos está también en directa relación con el concepto de fichero. En los casos de tratamiento automatizado de datos -siempre sometidos a la ley- es difícil imaginar la inexistencia de un fichero (aunque no se exija expresamente) puesto que los datos que se tratan mediante sistemas automatizados lo son siempre bajo unos criterios de estructura u organización previa.

Así, de acuerdo a la normativa expuesta, las imágenes captadas y grabadas por las cámaras de videovigilancia de la entidad denunciada, en contra de lo alegado por la entidad denunciada, constituyen un tratamiento de datos personales y, dado que el sistema de videovigilancia instalado es automatizado y va almacenado imágenes durante el período de 3 días, dichas imágenes constituyen un fichero a los efectos de lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Por lo tanto es conforme a derecho desestimar las alegaciones realizadas por la entidad denunciada a este respecto.

- Respecto a las alegaciones formuladas por el representante de AREOSO Y AZORES SC, tanto al Acuerdo de Inicio como a la Propuesta de Resolución, relativas a la ausencia de culpa y la creencia que la empresa que realizó, en su día, la instalación de las cámaras, estaba debidamente acreditada, no exonera de responsabilidad al infractor, que estuvo tratando datos personales sin contar con el consentimiento de las personas que fueron captadas y grabadas por las cámaras

19/28

instaladas en el establecimiento.

Si bien es cierto, que el principio de culpabilidad es exigido en el procedimiento sancionador y así la STC 246/1991 considera inadmisible en el ámbito del Derecho administrativo sancionador una responsabilidad sin culpa, también lo es que el principio de culpa no implica que sólo pueda sancionarse una actuación intencionada y a este respecto el artículo 130.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, dispone “sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia”.

Conviene recordar que desde el punto de vista material, la culpabilidad consiste en la capacidad que tiene el sujeto obligado para obrar de modo distinto y, por tanto, de acuerdo con el ordenamiento jurídico.

En cuanto al concepto de dolo, en el Código Penal la regla es la exigencia de dolo, de tal manera que sólo en supuestos excepcionales y tasados, pueden cometerse delitos por mera imprudencia. Sin embargo, en el Derecho Administrativo Sancionador, la situación es completamente distinta puesto que por regla general basta la imprudencia para que se entienda cometida la infracción. No obstante, se tendrá en cuenta la existencia de dolo o culpa para agravar o aminorar la sanción por aplicación del principio de proporcionalidad, pues la existencia de intencionalidad es un criterio que debe ser utilizado para graduar la sanción. Así, en el caso que nos ocupa, este hecho ha sido tenido en cuenta para aminorar la sanción. A este respecto, hay que aclarar que la disminución de las sanciones aplicables en el presente expediente, se ha debido a las circunstancias que se recogen en el Fundamento de Derecho X, y que han permitido la aplicación del artículo 45.4 y 5 de la LOPD.

Así el Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible, y en la valoración del grado de dicha diligencia, ha de ponderarse especialmente la profesionalidad o no del sujeto denunciado.

La Sentencia de la Audiencia Nacional dictada el 21 de septiembre de 2005, Recurso 937/2003, establece que “Además, en cuanto a la aplicación del principio de culpabilidad resulta que (siguiendo el criterio de esta Sala en otras Sentencias como la de fecha 21 de enero de 2004 dictada en el recurso 113/2001) que la comisión de la infracción prevista en el art. 77.3 d) puede ser tanto dolosa como culposa. Y en este sentido, si el error es muestra de una falta de diligencia, el tipo es aplicable, pues aunque en materia sancionadora rige el principio de culpabilidad, como se infiere de la simple lectura del art. 130 de la Ley 30)1992, lo cierto es que la expresión “simple inobservancia” permite la imposición de la sanción, sin duda en supuestos doloso, y asimismo en supuestos culposos, bastando la inobservancia del deber de cuidado”.

También la Sentencia de la Audiencia Nacional de 25 de marzo de 2003 indica que “Por lo que afecta a la culpabilidad, ha de decirse que generalmente este tipo de conductas no tienen un componente doloso, y la mayoría de ellas se producen sin malicia o intencionalidad. Basta la simple negligencia o incumplimiento de los deberes que la Ley impone a las personas responsables de ficheros o del tratamiento de datos de extremar la diligencia para evitar, como en el caso que nos ocupa, un tratamiento de datos personales sin consentimiento de la persona afectada, lo que denota una falta evidente en la observancia de esos deberes que conculcan claramente os principios y garantías establecidas en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter Personal, concretamente el del consentimiento del afectado.”

El Tribunal Supremo (STS 16/04/91 y STS 22/04/91) considera que del elemento culpabilista


se desprende “que la acción u omisión, calificada de infracción sancionable administrativamente, ha de ser, en todo caso, imputable a su autor, por dolo o imprudencia, negligencia o ignorancia inexcusable”.

A mayor abundamiento, la Audiencia Nacional en materia de protección de datos de carácter personal, ha declarado que “basta la simple negligencia o incumplimiento de los de deberes que la Ley impone a las personas responsables de ficheros o del tratamiento de datos de extremar la diligencia…” (SAN 26/06/01).

Vistos los preceptos y Jurisprudencia expuesta, procede desestimar las alegaciones formuladas por AREOSO Y OZORES SC, respecto a la ausencia de culpa.

- Respecto a la alegación de la sociedad denunciada relativa a que contrató con KRATOS TECNOLOGIES SL, pensando que era una empresa de seguridad autorizada y solicitando se inicien actuaciones de investigación sobre la actuación de la misma, hay que señalar que para que pueda afirmarse la responsabilidad es imprescindible que pueda imputarse al hecho constitutivo de infracción a una persona (principio de personalidad).

El principio de personalidad de la sanción ha sido consagrado por el Tribunal Constitucional en la STC 219/1988, como principio de responsabilidad por hechos propios. El respeto al principio de personalidad exige un nexo casual entre el hecho constitutivo de la infracción y la persona responsable.

La cuestión radica en analizar la especial configuración que el hecho infractor tiene en Derecho Administrativo Sancionador. La tipificación de las infracciones administrativas trata en definitiva, por lo general, de proteger el cumplimiento del Ordenamiento Jurídico, y de sancionar, por tanto, su incumplimiento, a diferencia de lo que ocurre con las infracciones penales, que sancionan la lesión o puesta en peligro de un bien jurídico protegido, sin que haya, por lo general una norma sustantiva subyacente que imponga la obligación que haya sido vulnerada.

Si en consecuencia, el hecho infractor consiste en un incumplimiento de la norma (y no es una lesión aun bien jurídico), sólo el titular de tal obligación estará, en principio capacitado para cometer la infracción. La exigencia de responsabilidad a quien no sea titular de la obligación incumplida vulneraría, por tanto, el principio de personalidad, pues no corresponde al no titular cumplir la obligación, ni por ende, se le puede hacer responder de su incumplimiento. Ello explica que, a efectos de determinar la imputación de una infracción a una persona determinada, lo relevante sea la indagación previa de la titularidad de la obligación que subyace al tipo.

En definitiva, no cabe imputar una infracción administrativa cuando no se haya obtenido y acreditado una prueba de cargo acreditativa de los hechos que motivan esta imputación o de la intervención en los mismos del presunto infractor. Así, en el caso que nos ocupa, AREOSO Y AZORES SC, en base al principio de personalidad es responsable de la comisión de la infracción del artículo 6 de la LOPD, al ser ella la que ha decidido la instalación, finalidad, uso y contenido del tratamiento de las imágenes captadas por las cámaras.

A este respecto hay que señalar que una empresa externa de seguridad autorizada puede prestar servicios consistentes en:

- Instalación y/o mantenimiento técnico de los equipos y sistemas de videovigilancia sin acceso a las imágenes. En este caso la empresa de seguridad no posee la condición de encargado de tratamiento correspondiendo al responsable que la contrató (en el caso que nos ocupa AREOSO Y OZORES SC.), la adaptación de la instalación a los requisitos normativos.

- Instalación y/o mantenimiento de los equipos y sistemas de videovigilancia con utilización

21/28

de los equipos o acceso a las imágenes. Únicamente en este caso, la empresa de seguridad será considerada encargada del tratamiento y la obligatoriedad de cumplir con las obligaciones de lo dispuesto por el artículo 12 de la LOPD.

En el caso que nos ocupa, nos encontraríamos en el primer supuesto, si bien aclarando que KRATOS TECHNOLOGIES S.L., no consta esté habilitada por el Ministerio del Interior como empresa de seguridad autorizada, siendo AREOSO Y OZORES S.C., el responsable de la instalación y el encargado de adaptarla a los requisitos normativos establecidos.

No obstante, si AREOSO Y AZORES SC, estima que la actuación de KRATOS TECNOLOGIES S.L., ha vulnerado o menoscabado sus intereses o derechos legítimos, tiene a su disposición utilizar los medios legales que considere oportunos, en defensa de los mismos, acudiendo a la vía jurisdiccional correspondiente.

Por lo tanto, es conforme a derecho, desestimar las alegaciones realizadas a este respecto.

VI

Por lo tanto, en primer lugar, el apartado 1 del artículo 6 de la LOPD, cuya posible vulneración se imputa en el presente procedimiento sancionador a AREOSO Y OZORES SC , y el apartado 2 del mismo precepto disponen que:

“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

Respecto a la legitimación en el tratamiento de las imágenes, la respuesta se encuentra en el artículo 2 de la Instrucción 1/2006, que establece que: “1. Sólo será posible el tratamiento de los datos objeto de la presente instrucción, cuando se encuentre amparado por lo dispuesto en el artículo 6.1 y 2 y el artículo 11.1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. 2. Sin perjuicio de lo establecido en el apartado anterior la instalación de cámaras y videocámaras deberá respectar en todo caso los requisitos exigidos por la legislación vigente en la materia”.

Por tanto o se obtiene el consentimiento de cada uno de los que transiten por los lugares en los que se encuentren instaladas las cámaras o se cumplen los requisitos que la legislación en la materia establece, para que el tratamiento sea legítimo.

La legitimación del tratamiento de los datos de carácter personal en materia de videovigilancia, a excepción de los casos, prácticamente imposibles dada su dificultad práctica, en los que se hubiera obtenido el consentimiento inequívoco de cada una de las personas que resulten


captadas o grabadas como consecuencia del uso de las cámaras, puede proceder, en función del ámbito de aplicación, bien de la Ley 23/1992, de 30 de julio, de Seguridad Privada (en adelante LSP), o bien de la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos.

En el presente caso, la legitimación para la instalación y uso de sistemas de seguridad en espacios privados procede de la LSP, siempre y cuando la prestación de dichos servicios se realice por una empresa de seguridad autorizada por el Ministerio del Interior. El mencionado artículo 6 de la LOPD, debe de conectarse con lo dispuesto en la Ley 23/1992, de 30 de julio, de Seguridad Privada (en adelante LSP), que establece en su artículo 1.1: “Esta Ley tiene por objeto la prestación por personas, físicas o jurídicas privadas, de servicios de vigilancia y seguridad de personas o de bienes, que tendrán la consideración de actividades complementarias y subordinadas respecto a las de seguridad pública”.

Asimismo, añade el artículo 1.2 que:“ A los efectos de esta Ley, únicamente pueden realizar actividades de seguridad privada y prestar servicios de esta naturaleza las empresas de seguridad y el personal de seguridad privada, que estará integrado por los vigilantes de seguridad, los vigilantes de explosivos, los jefes de seguridad, los directores de seguridad, los escoltas privados, los guardas particulares del campo, los guardas de caza, los guardapescas marítimos y los detectives privados”.

El artículo 5.1 e) de la LSP dispone que: “Con sujeción a lo dispuesto en la presente Ley y en las normas reglamentarias que la desarrollan, las empresas de seguridad únicamente podrán prestar o desarrollar los siguientes servicios y actividades (…) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad”. Esta previsión se reitera en el artículo 1 del Reglamento de Seguridad Privada, aprobado por Real Decreto 2364/1994, de 9 de diciembre.

De este modo, la Ley habilitaría que los sujetos previstos en su ámbito de aplicación puedan instalar dispositivos de seguridad, entre los que podrían encontrarse las cámaras, siempre con la finalidad descrita en el citado artículo 1.1.

Para la efectiva puesta en funcionamiento de la medida, el artículo 6.1 de la LSP dispone que: “Los contratos de prestación de los distintos servicios de seguridad deberán en todo caso consignarse por escrito, con arreglo a modelo oficial, y comunicarse al Ministerio del Interior, con una antelación mínima de tres días a la iniciación de tales servicios”.

El artículo 20 del RSP regula el procedimiento de notificación del contrato, la autoridad competente y el régimen aplicable a la contratación del servicio por las Administraciones Públicas y a supuestos excepcionales que exijan la inmediata puesta en funcionamiento del servicio.

Por último, el artículo 7 de la LSP, establece que para la prestación privada de servicios o actividades de seguridad, las empresas de seguridad habrán de obtener la oportuna autorización administrativa mediante su inscripción en un Registro que se lleva en el Ministerio del Interior.

De este modo, quedaría legitimado por la existencia de una norma con rango de Ley habilitante el tratamiento al que se refiere el apartado 2 de los citados con anterioridad, siempre que se cumplan los requisitos a los que se ha hecho referencia o concurra una de las excepciones previstas en el RSP, no siendo necesario el consentimiento del afectado.

En consecuencia, siempre que se haya dado cumplimiento a los requisitos formales establecidos en los artículos precedentes (inscripción en el Registro de Empresas de Seguridad de y comunicación del contrato al Ministerio del Interior), las empresas de seguridad autorizadas podrán instalar dispositivos de seguridad en ámbitos y recintos privados, entre los que se

23/28

encontrarían los que tratasen imágenes con fines de videovigilancia, existiendo así, en principio, y en lo que se refiere a la normativa de protección de datos una habilitación legal que permitiría al responsable del tratamiento y/o del fichero tratar los datos de carácter personal (imágenes) captados en espacios privados por las cámaras de videovigilancia y almacenados en ficheros una vez grabados, cuando esta última circunstancia se produzca, sin precisar del consentimiento inequívoco de los afectos cuya imagen resulta captada y, en su caso grabada, por los sistemas de seguridad privada instalados por tales empresas.

Relacionando las señaladas normativas de protección de datos y de seguridad privada con los hechos que han resultado probados en el procedimiento sancionador, se constata que la imputada trata datos de carácter personal procedentes de las imágenes captadas por las cámaras de videovigilancia instaladas en la discoteca “Yacaré”, sin contar con el consentimiento inequívoco de los afectados que acceden a la zona videovigilada, ni disponer, tampoco, de la cobertura legal que proporciona la instalación de los sistemas de videovigilancia conforme a la normativa de seguridad privada.

En el caso que nos ocupa, según el representante de la sociedad denunciada, la empresa

que realizó la instalación del sistema de videovigilancia fue KRATOS TECHNOLOGIES, SL, no constando que dicha empresa esté habilitada por el Ministerio del Interior como empresa de seguridad, ni que la contratación del servicio de instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad fuera comunicada a dicho departamento ministerial, por lo que, en consecuencia, el tratamiento de imágenes efectuado en el reseñado establecimiento, ni cuenta con el consentimiento inequívoco de las personas cuya imagen se capta a través de la cámaras instaladas en su interior, imágenes que también son grabadas, ni, tampoco, está amparado por la LSP por las causas anteriormente indicadas, motivo por el que dicho tratamiento no cumple con las previsiones fijadas tanto por el artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de los Datos de Carácter Personal, relativo al “Consentimiento del afectado”, como por la Instrucción 1/2006, de 8 de noviembre, de la AEPD, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

Así, el tratamiento de datos sin consentimiento constituye un límite al derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre, (F.J. 7 primer párrafo), “...consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (...)”.

Son pues elementos característicos del derecho fundamental a la protección de datos personales, los derechos del afectado a consentir sobre la recogida y tratamiento de sus datos personales y a saber de los mismos.

En el presente expediente, cabe apreciar que el establecimiento denunciado captaba y grababa imágenes de personas, tanto trabajadores como clientes y terceros, de conformidad con lo anteriormente expuesto. Dichas imágenes, incorporarían datos personales de las personas que se introdujeran dentro de su campo de visión y, por lo tanto, los datos personales captados deberían estar sometidos al consentimiento de sus titulares, de conformidad con lo que determina la LOPD.


Dicho tratamiento, por tanto, ha de contar con el consentimiento del afectado, o que una ley legitime su tratamiento, circunstancia que no se ha acreditado, por lo que cabe estimar cometida la infracción por la que se ha instruido el presente procedimiento, y por tanto sancionable, de conformidad con lo que dispone el artículo 44.3. d) de dicha norma, que establece como tal: “Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidas en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave”.

VII

El artículo 44.3.d) de la LOPD tipifica como infracción grave: “Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave”.

En relación al tipo de infracción establecido en el citado artículo 44.3.d), la Audiencia Nacional, en Sentencia de 27/10/2004, ha declarado: “Sucede así que, como ya dijimos en la Sentencia de 8 de octubre de 2003 (recurso 1.821/01) el mencionado artículo 44.3 d) de la Ley Orgánica 15/1999, aún no siendo, ciertamente, un modelo a seguir en lo que se refiere a claridad y precisión a la hora de tipificar una conducta infractora, no alberga una formulación genérica y carente de contenido como afirma la demandante. La definición de la conducta típica mediante la expresión “tratar los datos de carácter personal ...” no puede ser tachada de falta de contenido pues nos remite directamente a cualquiera de las concretas actividades que el artículo 3.d) de la propia Ley incluye en la definición de “tratamiento de datos” (recogida, grabación, conservación, elaboración, ... de datos de carácter personal). Y tampoco cabe tachar de excesivamente genérico o impreciso el inciso relativo a que el tratamiento o uso de los datos se realice “... con conculcación de los principios y garantías establecidos en la presente Ley...”, pues tales principios y garantías debidamente acotados en el Título II del propio texto legal bajo las rúbricas de Principios de la Protección de Datos (artículos 4 a 12) y Derechos de las Personas (artículos 13 a 19)”.

En el presente caso, la descripción de conductas que establece el artículo 44.3.d) de la LOPD cumple las exigencias derivadas del principio de tipicidad, toda vez que del expresado precepto se desprende con claridad cuál es la conducta prohibida. El tipo aplicable considera infracción grave “tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley”, por tanto, se está describiendo una conducta - el tratamiento automatizado de datos personales o su uso posterior – que precisa, para configurar el tipo, que dicha conducta haya vulnerado los principios que establece la LOPD.

En este caso, la entidad AREOSO Y AZORES SC, ha incurrido en la infracción grave descrita ya que el consentimiento para el tratamiento de los datos personales es un principio básico del derecho fundamental a la protección de datos, recogido en el artículo 6 de la LOPD , habiendo tratado datos de las personas que pudieran haber sido captadas por las cámaras de videovigilancia sin contar con su consentimiento, o estar legitimados por ley, lo que supone una vulneración de este principio, conducta que encuentra su tipificación en este artículo 44.3.d).

VIII

25/28

En segundo lugar, se imputa a AREOSO Y AZORES SC, la posible comisión de una infracción del artículo 26.1 de la LOPD, que recoge lo siguiente:

“1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos”

El responsable del fichero es el titular del fichero que contiene datos de carácter personal. Sobre él van a recaer las obligaciones que establece la LOPD. . El responsable del fichero, antes de disponerse a someter datos personales a tratamiento, deberá cumplir con los requisitos de la normativa de protección de datos, teniendo en cuenta su naturaleza y la naturaleza de los datos que va a someter a tratamiento.

El apartado d) del artículo 3 de la LOPD define al responsable del fichero o tratamiento como aquella persona física o jurídica, de naturaleza pública o privada, u órgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento. El artículo 43 de la LOPD sujeta a su régimen sancionador precisamente al responsable del fichero o tratamiento.

El reglamento de desarrollo de la LOPD, aprobado por RD 1720/2007, de 21 de diciembre, complementa esta definición en el apartado q) del artículo 5, en el que señala lo siguiente:

“q) Responsable del fichero o del tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que solo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.

Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados”.

El responsable del fichero es, en suma, quien debe garantizar el derecho fundamental de protección de datos personales de todas las personas cuyos datos almacena. Por ello, va a estar obligado a llevar a cabo una serie de actuaciones dirigidas a la protección de los datos, a su integridad y a su seguridad.

En el caso que nos ocupa, es la entidad denunciada, la que ha decidido la instalación del sistema de videovigilancia, lo que en definitiva le convierte en responsable del fichero dado que decide sobre la finalidad, contenido y uso del tratamiento derivado de las imágenes, requisitos necesarios para considerarse responsable del fichero, al amparo del artículo 3 d) de la LOPD.

Además, el responsable del fichero, tiene una serie de obligaciones, que se empiezan a producir incluso con anterioridad a ser responsable. Una vez que se disponga a recabar datos personales, que haya decidido la finalidad del tratamiento y que deba crear un fichero de datos, comienza su obligación de inscribirlo en el Registro General de Protección de Datos.

Además, el responsable del fichero debe tener en cuenta otros aspectos, como el principio de calidad de los datos, los principios del consentimiento, los derechos de los afectados y su obligación de deber de secreto.

El responsable debe notificar su fichero a la Agencia Española de Protección de Datos, que dispondrá inscribirlo en el Registro General de Protección de Datos. La notificación de inscripción del fichero facilitará que terceros puedan conocer que se está produciendo un tratamiento con una finalidad determinada y los afectados tendrán la oportunidad de ejercitar sus derechos ante el responsable.

En el caso analizado, ha quedado acreditado, que las imágenes eran grabadas quedando almacenadas las últimas 72 horas de grabación. Dado que la entidad denunciada, recababa datos personales, a través del sistema de videovigilancia, debió notificar a esta Agencia la creación del


fichero antes de iniciar la recogida de datos.

Sin embargo, a fecha 11 de agosto de 2009, AREOSO Y OZORES SC, no había procedido a la notificación e inscripción del fichero de videovigilancia, del que es responsable, en el Registro General de Protección de Datos de esta Agencia. Por tanto tales hechos suponen una vulneración del citado artículo 26.1 de la LOPD.

Además este es el criterio que se hace constar en la Instrucción 1/2006 , al señalar en su artículo 7 que “1-La persona o entidad que prevea la creación de ficheros de videovigilancia deberá notificarlo previamente a la Agencia Española de Protección de Datos, para su inscripción en el Registro General de la misma.

Tratándose de ficheros de titularidad pública deberá estarse a lo establecido en el artículo 20 de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal.

2.-A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real.”

IX

El artículo 44.2.c) de la LOPD califica de infracción leve la conducta siguiente:

“c) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave”.

La citada infracción del artículo 26.1 de la LOPD encuentra su tipificación en el precepto trascrito.

X

El artículo 45.1.2, 4 y 5 de la LOPD establece lo siguiente:

“1. Las infracciones leves serán sancionadas con multa de 601,01 a 60.101, 21 euros”.

“2. Las infracciones graves podrán ser sancionadas con multas de 60.101,21 a 300.506,05 euros”.

“4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.”

“5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.”

La Audiencia Nacional, en sus Sentencias de 24/05/2002 y 16/02/2005, ha señalado en cuanto a la aplicación del apartado 5 del citado precepto que “... la presente regla debe aplicarse con exquisita ponderación y solo en los casos en los que la culpabilidad y la antijuridicidad resulten

27/28

sustancialmente atenuadas atendidas las circunstancias del caso concreto, de forma que repugne a la sensibilidad jurídica, siempre guiada por el valor justicia, la imposición de la sanción correspondiente al grado. Lo cual insistimos puede darse, por excepción, en casos muy extremos y concretos. Circunstancias que no apreciamos concurran en el caso de autos en el que la entidad bancaria debió adoptar una diligencia mayor y optar por una interpretación en defensa de los intereses del titular del dato, pues no se olvida que este es titular de un derecho fundamental a la libertad informática –STS 202/1999- y las entidades que operan en el mercado de datos y obtienen con ello determinadas ventajas deben siempre obrar con exquisita diligencia y procurar siempre la perfecta comunicación entre el dato y la realidad”.

La aplicación con carácter excepcional del artículo 45.5 exige la concurrencia de al menos uno de los siguientes requisitos: a) Disminución de la culpabilidad del imputado y b) Disminución de la antijuricidad del hecho.

En el presente caso, ha quedado acreditado que AREOSO Y OZORES SC, tiene instalado un sistema de videovigilancia, sin contar con legitimación para el tratamiento de los datos personales captados por dichas cámaras. Dicho sistema fue instalado por una empresa que no estaba autorizada como empresa de seguridad, como medida para controlar la actividad del local durante su funcionamiento. Sin embargo ha de tenerse en cuenta que el sistema de videocámaras instalado tenía como finalidad la propia seguridad del imputado y de sus bienes y que la complejidad de las normas que regulan el tratamiento de datos personales a través de sistemas de videovigilancia requieren una especial cualificación técnica, lo que lleva a apreciar la existencia de una cualificada disminución de la culpabilidad, al no poder obviarse que no puede exigirse a la entidad actora un elevado grado de diligencia, pues por su naturaleza de pequeña o mediana empresa no realiza tratamientos de datos personales de gran alcance o volumen. Asimismo, tiene instalados los preceptivos carteles informativos de zona de videovigilancia, acordes a la Instrucción 1/2006.

Por todo ello, y tomando en consideración las citadas circunstancias, procede la aplicación del citado articulo 45. 5 de la LOPD.

Por otro lado, de conformidad con los criterios de graduación recogidos en el artículo 45.4 de la LOPD y en especial la ausencia de intencionalidad, procede la imposición de la sanción en la cuantía de 2500 € por la infracción del artículo 6 de la LOPD, y 2000 € por la infracción del artículo 26 de la LOPD.

Vistos los preceptos citados y demás de general aplicación,

El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a AREOSO Y OZORES SC, por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 2.500 € (dos mil quinientos euros) de conformidad con lo establecido en el artículo 45.2.4 y 5 de la citada Ley Orgánica.

SEGUNDO: IMPONER a AREOSO Y OZORES SC , por una infracción del artículo 26 de la LOPD, tipificada como leve en el artículo 44.2.c) de dicha norma, una multa de 2.000 € (dos mil euros) de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

TERCERO: NOTIFICAR la presente resolución a AREOSO Y OZORES SC, y a D. A.A.A..


CUARTO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº 0000 0000 00 0000000000 abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.

De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD.

Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

Madrid, 21 de diciembre de 2009EL DIRECTOR DE LA AGENCIA ESPAÑOLA

DE PROTECCIÓN DE DATOS

Fdo.: Artemi Rallo Lombarte

procedimiento nº ps/00436/2009 resoluciÓn: r/02515/2009 ... · multa de 60.101,21 € a...

Documents