La normativa de protección de datos vigente en España tiene incidencia directa en las actividades de seguridad privada prestadas por las Empresas de seguridad, despachos de detectives privados y los profesionales de seguridad.
Son muchos los informes jurídicos emitidos por la Agencia Española de Protección de Datos desde el año 2019 que consideran que los tratamientos realizados en las actividades y servicios de seguridad privada se encuentran sometidos con sus limitaciones oportunas a la normativa de protección de datos vigente en España.
Esta afirmación vertida, viene ratificada por la aprobación de la reciente ley 7/2021 de 26 de mayo de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, que complementa la Ley 3/2018 de 5 de diciembre de protección de datos personales y garantía de derechos digitales, y considera sometido a la normativa de protección de datos en su artículo 2 “aquellos tratamientos de datos realizado por las autoridades competentes (FCS), con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública”.
El articulo 22,6 y 7 de la Ley 3/2018 de protección de datos personales, al hablar de los tratamientos de datos (imágenes y sonidos) con fines de videovigilancia, se pronuncia expresamente en el mismo sentido manifestado en el anterior párrafo, cuando establece:
“6. El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, se regirá por la legislación de transposición de la Directiva (UE) 2016/680, cuando el tratamiento tenga fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. Fuera de estos supuestos, dicho tratamiento se regirá por su legislación específica y supletoriamente por el Reglamento (UE) 2016/679 y la presente ley orgánica.
7. Lo regulado en el presente artículo se entiende sin perjuicio de lo previsto en la Ley 5/2014, de 4 de abril, de Seguridad Privada y sus disposiciones de desarrollo”.
Por consiguiente, las actividades de la seguridad privada, en lo que constituyen las operaciones de tratamiento de datos personales tanto con sus clientes como con las Fuerzas y Cuerpos de Seguridad al ejecutar sus servicios de seguridad privada, tienen una relación especial concretada y desarrollada tanto por la Ley 5/2014 de 5 de abril de Seguridad Privada, como por la Ley 3/2018 de 5 de diciembre de protección de datos personales y garantía de derechos digitales, y recientemente por la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
Esta relación de sujeción especial de la Seguridad Privada con la Seguridad Pública, como actividad subordinada y complementaria de la seguridad pública, se traduce para el supuesto de prestación de servicios de seguridad privada por las Empresas y Despachos de detectives privados en un deber de colaboración y cumplimiento de los fines del articulo 4 de la Ley 5/2014 y en cumplimiento de una obligación legal, y todo ello por su vinculación legal con lo previsto en el artículo 8 de la Ley 3/2018 de protección de datos personales.
Así pues, es nuestra ley de Seguridad privada la que, de conformidad con lo previsto en el artículo 8 de la Ley 3/2018 de protección de datos personales ya meritado, determina estas condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal por las Empresas de Seguridad y Despachos de detectives privados.
Adicionalmente también debe ser nuestro texto legal de la seguridad privada, la que puede igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del RGPD como luego veremos.
Este espíritu antes citado, es el que se contiene en el preámbulo de la Ley 5/2014 de Seguridad privada cuando se contempla literalmente:
“En el título I se plasma una de las ideas claves que han inspirado la redacción de la ley, como es la coordinación y la colaboración entre los servicios de seguridad privada y las Fuerzas y Cuerpos de Seguridad, con el único objetivo de mejorar la seguridad pública, mediante el intercambio de información siempre con todas las garantías legales…,” que extiende a la actividad de videovigilancia e investigación privada en lo que se refiere a la cesión de datos ya que se trata de servicios que potencialmente pueden incidir de forma directa en la esfera de la intimidad de los ciudadanos”.
El cumplimiento de esta obligación legal impuesto a las Empresas de Seguridad y Despachos de detectives como actividades complementarias y subordinadas a la seguridad pública, viene recogido en el artículo 14 de la Ley de Seguridad privada, y ello respecto a aquellas cesiones de datos autorizadas por ley, en la ejecución de los servicios de seguridad privada, cuando dispone:
“2. Las empresas de seguridad, los despachos de detectives y el personal de seguridad privada deberán comunicar a las Fuerzas y Cuerpos de Seguridad competentes, tan pronto como sea posible, cualesquiera circunstancias o informaciones relevantes para la prevención, el mantenimiento o restablecimiento de la seguridad ciudadana, así como todo hecho delictivo del que tuviesen conocimiento en el ejercicio de su actividad o funciones, poniendo a su disposición a los presuntos delincuentes, así como los instrumentos, efectos y pruebas relacionadas con los mismos”.
Ello no obstante lo anterior, dicha cesión de datos en cumplimiento de una ley por las Empresas y Despachos de detectives, debe hallarse sometida a especiales medidas de seguridad, que bajo mi punto de vista vienen concretadas en el Esquema Nacional de Seguridad impuesto a las Fuerzas y Cuerpos de seguridad en el artículo 37 de la Ley 7/2021 de 26 de mayo de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, cuando enumera como tales:
“a) En el control de acceso a los equipamientos, denegar el acceso a personas no autorizadas a los equipamientos utilizados para el tratamiento.
b) En el control de los soportes de datos, impedir que estos puedan ser leídos, copiados, modificados o cancelados por personas no autorizadas.
c) En el control del almacenamiento, impedir que se introduzcan sin autorización datos personales, o que estos puedan inspeccionarse, modificarse o suprimirse sin autorización.
d) En el control de los usuarios, impedir que los sistemas de tratamiento automatizado puedan ser utilizados por personas no autorizadas por medio de instalaciones de transmisión de datos.
e) En el control del acceso a los datos, garantizar que las personas autorizadas a utilizar un sistema de tratamiento automatizado, sólo puedan tener acceso a los datos personales para los que han sido autorizados.
f) En el control de la transmisión, garantizar que sea posible verificar y establecer a qué organismos se han transmitido o pueden transmitirse, o a cuya disposición pueden ponerse los datos personales mediante equipamientos de comunicación de datos.
g) En el control de la introducción, garantizar que pueda verificarse y constatarse, a posteriori, qué datos personales se han introducido en los sistemas de tratamiento automatizado, en qué momento y quién los ha introducido.
h) En el control del transporte, impedir que durante las transferencias de datos personales o durante el transporte de soportes de datos, los datos personales puedan ser leídos, copiados, modificados o suprimidos sin autorización.
i) En el control de restablecimiento, garantizar que los sistemas instalados puedan restablecerse en caso de interrupción.
j) En el control de fiabilidad e integridad, garantizar que las funciones del sistema no presenten defectos, que los errores de funcionamiento sean señalados y que los datos personales almacenados no se degraden por fallos de funcionamiento del sistema”.
Como ratificación de lo expresado, el preámbulo de la Ley 3/2018 de 5 de diciembre de protección de datos personales y garantía de derechos digitales al disponer para cesiones en cumplimiento de una obligación legal dispone lo siguiente:
“Se podrán igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras, cuando ello derive del ejercicio de potestades públicas o del cumplimiento de una obligación legal y solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el reglamento europeo, cuando derive de una competencia atribuida por la ley,
Por otro lado, me interesa destacar como primera aproximación a esta realidad normativa, un concepto que considero clave a la hora de determinar que datos personales deben ser cedidos por las Empresas de Seguridad y Despachos de detectives en el desarrollo de las actividades de seguridad privada, al margen de la relación contractual suscrita con el usuario de los servicios de seguridad privada (cliente), cuál es la información relevante para la seguridad ciudadana que podemos traducir en aquella información concretada en el artículo 14.2 de la Ley de Seguridad privada cuando afirma:
“cualesquiera circunstancias o informaciones relevantes para la prevención, el mantenimiento o restablecimiento de la seguridad ciudadana, así como todo hecho delictivo del que tuviesen conocimiento en el ejercicio de su actividad o funciones, poniendo a su disposición a los presuntos delincuentes, así como los instrumentos, efectos y pruebas relacionadas con los mismos”.
Por último, para cerrar este artículo, me gustaría traer a colación para explicar como criterios de que cómo deben producirse estas cesiones de datos en cumplimiento de una obligación legal, el Informe Jurídico de la Agencia Española de Protección de Datos 0133/2008 aun cuando haga referencia a una Ley española ya derogada la 15/1999 sin necesidad de consentimiento de los afectados o interesados:
- Que quede debidamente acreditado que la obtención de los datos resulta necesaria para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales y que, tratándose de datos especialmente protegidos, sean absolutamente necesarios para los fines de una investigación concreta.
- Que se trate de una petición concreta y específica; esto es, que no se trate de solicitudes masivas de datos.
- Que la petición se efectúe con la debida motivación, acreditando su relación con los supuestos que se han expuesto.
- Que los datos sean suprimidos cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.