Cinco de cinco.
Si no leyó la primera parte, pinche aquí.
Si se perdió la segunda piche aquí.
Si se perdió la tercera pinche aquí.
Si se perdió la cuarta pinche aquí.
En esta serie de artículos se examinan las condiciones de tratamiento de datos personales por un encargado del tratamiento en el caso de una vigilante de seguridad que es sancionada laboralmente por incumplir sus deberes laborales (E/03557/2014). Como se ha señalado, la posición del regulador plantea dificultades técnico jurídicas relevantes. En primer lugar, por sustentar la prevalencia de un derecho en un conflicto de derechos cuando para satisfacer uno de ellos se trata de limitar el otro.
Por otra parte, de la resolución parece deducirse el siguiente argumentario: puesto que el encargado del tratamiento tiene por tarea proveer seguridad y la empleada del mismo ponía en peligro con su conducta el control de acceso físico, sería lícito el uso de las imágenes no sólo desde el punto de vista de su validez en un proceso, sino incluso para la satisfacción de los deberes que lo vinculan con el responsable del fichero.
Pero de ser así, y puesto que cabe presumir que conforme al artículo 82 RLOPD y habida cuenta de la naturaleza de la prestación que se producía en las instalaciones del responsable, es previsible considerar que el encargado únicamente accedía a imágenes. Y en tal caso, ¿fueron dichos hechos notificados como incidencia?, ¿constaban en el documento de seguridad? Nada dice al respecto la exposición de hechos probados. Si se refiere sin embargo, a cómo la sentencia dictada en relación con la infracción laboral puso de manifiesto que el comportamiento de la vigilante era notoriamente conocido. Pues bien, si uno de los fundamentos de la solución reside en la garantía de la seguridad el modo de probar una actuación lícita del encargado no puede ser otro que la presentación de una incidencia debidamente registrada y documentada como sustrato material que sin embargo en la resolución no se acredita.
No obstante, existe un segundo camino que conduciría a considerar la existencia de un tratamiento lícito de los datos personales con fundamento en la seguridad, esta vez entendida cómo prestación del encargado al responsable. En este caso, debería existir una secuencia en el tratamiento coherente con el esquema de funcionamiento de la relación responsable-encargado que dibuja el artículo 12 LOPD. Y aquí el tratamiento dependería sin duda de una decisión potestativa del primero de ellos. Por tanto, si seguimos construyendo nuestra teoría la secuencia debería haber sido:
1) detección de la incidencia;
2) notificación de la incidencia al responsable;
3) el responsable verifica la incidencia y debe adoptar remedios para evitarla;
4) puesto que el remedio consiste en corregir la conducta del personal infractor se notifica dicha necesidad al encargado para que actúe.
Y no parece muy aventurado considerar que en el paso cuatro, donde se da una cesión de datos, ésta estuviera amparada por el interés legítimo. Y no sólo eso, en este esquema de fundamentación no sólo no se lesiona derecho fundamental alguno, al margen de lo que a continuación se señalará, sino que al menos en apariencia podría decirse que responsable y encargado al preservar el valor de la seguridad desarrollan una conducta ordenada a la garantía, entre otros, del derecho fundamental a la protección de datos personales de las personas hospitalizadas.
Pues bien, no se trata de una teoría, se trata exactamente de la decisión adoptada en el Expediente Nº: E/01606/2013. Y lo sorprendente del caso es que el sujeto investigado resulta ser SEGUR IBÉRICA. El supuesto aparentemente sería idéntico, pero no así la relación de hechos. Y ello se debe a que consta en la descripción de los mismos que la infracción a la seguridad es notificada “por el responsable”. Responsable que hace constar en sus alegaciones que:
«La finalidad del tratamiento de las imágenes es la seguridad de las instalaciones vigiladas, pero parte esencial de esta seguridad es el cumplimento de las obligaciones del personal a cargo de los equipos de grabación».
Y no sólo esto, es el responsable el que requiere al encargado mediante informe en el que se especificaban las actuaciones irregulares del vigilante, siendo precisamente este el que « motivó el conocimiento por parte de la empresa de seguridad de las faltas laborales cometidas por el vigilante de seguridad, dando lugar a la sanción disciplinaria correspondiente».
Y a partir de aquí la argumentación de la Agencia adquiere mayor solidez que en el caso del hospital, con una invocación precisa del concepto de interés legítimo derivado de obligaciones o derechos basados en una disposición con rango de ley (art. 102.a RLOPD). Esto aquí supone que:
«en el presente supuesto, el tratamiento de datos por medio de cámaras y/o videocámaras con fines de seguridad queda incardinado en la esfera del interés legítimo de la entidad denunciada, por cuanto la misma tiene un evidente interés en la instalación y mantenimiento de cámaras de seguridad; y la finalidad de seguridad es también legítima, sin que se oponga a norma u obligación de ningún tipo.
(…)
En el supuesto objeto del presente expediente, los derechos y libertades fundamentales de los afectados –esto es, las personas cuyas imágenes son captadas, grabadas y visionadas por las cámaras de seguridad de la entidad denunciada– no se ven lesionados hasta el punto de prevalecer sobre el interés legítimo de dicha empresa relacionado con la seguridad.
En definitiva, el interés legítimo supone la legitimación del RCD Espanyol, y de quien ésta ha designado para el tratamiento de imágenes, siempre que se cumplan las garantías establecidas en la Instrucción 1/2006 antes mencionada, destacando en particular el deber de información y los derechos de las personas a que se refieren los artículos 15 y siguientes de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.»
Se podrá estar o no de acuerdo con el planteamiento, pero ahora la argumentación al menos resulta sólida, anclada en hechos, y con un conjunto de decisiones y flujos de información perfectamente coherentes. Por otra parte, el regulador establece una conexión de finalidad entre la decisión del encargado como decisión instrumental ordenada a garantizar la prestación debida al responsable:
« Así la citada empresa actuaría por cuenta del responsable del fichero, en este caso REAL CLUB DEPORTIVO ESPANYOL DE BARCELONA, no entendiéndose la existencia de una cesión de datos ilegítima, siendo el acceso a los datos por parte de SEGUR IBÉRICA S.A., necesarios para la prestación de un servicio al responsable del tratamiento.
(…)Asimismo dada la relación contractual entre REAL CLUB DEPORTIVO ESPANYOL DE BARCELONA y SEGUR IBÉRICA S.A., para la que el trabajador despedido prestaba sus servicios en las instalaciones de aquella, estaría justificada la información que REAL CLUB DEPORTIVO ESPANYOL DE BARCELONA pudiera suministrar sobre la conducta del trabajador,(contraria a las condiciones contractuales pactadas entre ambos), que de acuerdo con el Estatuto de los Trabajadores le corresponde valorar el cumplimiento de los deberes por parte de sus trabajadores y, en su caso, proponer y corregir las conductas contrarias al correcto desarrollo de sus obligaciones».
Videovigilancia, encargado del tratamiento y justicia material ¿Cambio de rumbo? El interés legítimo…http://t.co/73cRNUn6f0 vía @ricardmm