Videovigilancia, encargado del tratamiento y justicia material. ¿Cambio de rumbo? El interés legítimo en las relaciones responsable encargado.

Cinco de cinco.

Si no leyó la primera parte, pinche aquí.

Si se perdió la segunda piche aquí.

Si se perdió la tercera pinche aquí.

Si se perdió la cuarta pinche aquí.

 

En esta serie de artículos se examinan las condiciones de tratamiento de datos personales por un encargado del tratamiento en el caso de una vigilante de seguridad que es sancionada laboralmente por incumplir sus deberes laborales (E/03557/2014). Como se ha señalado, la posición del regulador plantea dificultades técnico jurídicas relevantes. En primer lugar, por sustentar la prevalencia de un derecho en un conflicto de derechos cuando para satisfacer uno de ellos se trata de limitar el otro.

Por otra parte, de la resolución parece deducirse el siguiente argumentario: puesto que el encargado del tratamiento tiene por tarea proveer seguridad y la empleada del mismo ponía en peligro con su conducta el control de acceso físico, sería lícito el uso de las imágenes no sólo desde el punto de vista de su validez en un proceso, sino incluso para la satisfacción de los deberes que lo vinculan con el responsable del fichero.

Pero de ser así, y puesto que cabe presumir que conforme al artículo 82 RLOPD y habida cuenta de la naturaleza de la prestación que se producía en las instalaciones del responsable, es previsible considerar que el encargado únicamente accedía a imágenes. Y en tal caso, ¿fueron dichos hechos notificados como incidencia?, ¿constaban en el documento de seguridad? Nada dice al respecto la exposición de hechos probados. Si se refiere sin embargo, a cómo la sentencia dictada en relación con la infracción laboral puso de manifiesto que el comportamiento de la vigilante era notoriamente conocido. Pues bien, si uno de los fundamentos de la solución reside en la garantía de la seguridad el modo de probar una actuación lícita del encargado no puede ser otro que la presentación de una incidencia debidamente registrada y documentada como sustrato material que sin embargo en la resolución no se acredita.

No obstante, existe un segundo camino que conduciría a considerar la existencia de un tratamiento lícito de los datos personales con fundamento en la seguridad, esta vez entendida cómo prestación del encargado al responsable. En este caso, debería existir una secuencia en el tratamiento coherente con el esquema de funcionamiento de la relación responsable-encargado que dibuja el artículo 12 LOPD. Y aquí el tratamiento dependería sin duda de una decisión potestativa del primero de ellos. Por tanto, si seguimos construyendo nuestra teoría la secuencia debería haber sido:

1) detección de la incidencia;

2) notificación de la incidencia al responsable;

3) el responsable verifica la incidencia y debe adoptar remedios para evitarla;

4) puesto que el remedio consiste en corregir la conducta del personal infractor se notifica dicha necesidad al encargado para que actúe.

Y no parece muy aventurado considerar que en el paso cuatro, donde se da una cesión de datos, ésta estuviera amparada por el interés legítimo. Y no sólo eso, en este esquema de fundamentación no sólo no se lesiona derecho fundamental alguno, al margen de lo que a continuación se señalará, sino que al menos en apariencia podría decirse que responsable y encargado al preservar el valor de la seguridad desarrollan una conducta ordenada a la garantía, entre otros, del derecho fundamental a la protección de datos personales de las personas hospitalizadas.

Pues bien, no se trata de una teoría, se trata exactamente de la decisión adoptada en el Expediente Nº: E/01606/2013. Y lo sorprendente del caso es que el sujeto investigado resulta ser SEGUR IBÉRICA. El supuesto aparentemente sería idéntico, pero no así la relación de hechos. Y ello se debe a que consta en la descripción de los mismos que la infracción a la seguridad es notificada “por el responsable”. Responsable que hace constar en sus alegaciones que:

«La finalidad del tratamiento de las imágenes es la seguridad de las instalaciones vigiladas, pero parte esencial de esta seguridad es el cumplimento de las obligaciones del personal a cargo de los equipos de grabación».

Y no sólo esto, es el responsable el que requiere al encargado mediante informe en el que se especificaban las actuaciones irregulares del vigilante, siendo precisamente este el que « motivó el conocimiento por parte de la empresa de seguridad de las faltas laborales cometidas por el vigilante de seguridad, dando lugar a la sanción disciplinaria correspondiente».

Y a partir de aquí la argumentación de la Agencia adquiere mayor solidez que en el caso del hospital, con una invocación precisa del concepto de interés legítimo derivado de obligaciones o derechos basados en una disposición con rango de ley (art. 102.a RLOPD). Esto aquí supone que:

«en el presente supuesto, el tratamiento de datos por medio de cámaras y/o videocámaras con fines de seguridad queda incardinado en la esfera del interés legítimo de la entidad denunciada, por cuanto la misma tiene un evidente interés en la instalación y mantenimiento de cámaras de seguridad; y la finalidad de seguridad es también legítima, sin que se oponga a norma u obligación de ningún tipo.

(…)

En el supuesto objeto del presente expediente, los derechos y libertades fundamentales de los afectados –esto es, las personas cuyas imágenes son captadas, grabadas y visionadas por las cámaras de seguridad de la entidad denunciada– no se ven lesionados hasta el punto de prevalecer sobre el interés legítimo de dicha empresa relacionado con la seguridad.

En definitiva, el interés legítimo supone la legitimación del RCD Espanyol, y de quien ésta ha designado para el tratamiento de imágenes, siempre que se cumplan las garantías establecidas en la Instrucción 1/2006 antes mencionada, destacando en particular el deber de información y los derechos de las personas a que se refieren los artículos 15 y siguientes de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.»

 

 Se podrá estar o no de acuerdo con el planteamiento, pero ahora la argumentación al menos resulta sólida, anclada en hechos, y con un conjunto de decisiones y flujos de información perfectamente coherentes. Por otra parte, el regulador establece una conexión de finalidad entre la decisión del encargado como decisión instrumental ordenada a garantizar la prestación debida al responsable:

« Así la citada empresa actuaría por cuenta del responsable del fichero, en este caso REAL CLUB DEPORTIVO ESPANYOL DE BARCELONA, no entendiéndose la existencia de una cesión de datos ilegítima, siendo el acceso a los datos por parte de SEGUR IBÉRICA S.A., necesarios para la prestación de un servicio al responsable del tratamiento.

(…)Asimismo dada la relación contractual entre REAL CLUB DEPORTIVO ESPANYOL DE BARCELONA y SEGUR IBÉRICA S.A., para la que el trabajador despedido prestaba sus servicios en las instalaciones de aquella, estaría justificada la información que REAL CLUB DEPORTIVO ESPANYOL DE BARCELONA pudiera suministrar sobre la conducta del trabajador,(contraria a las condiciones contractuales pactadas entre ambos), que de acuerdo con el Estatuto de los Trabajadores le corresponde valorar el cumplimiento de los deberes por parte de sus trabajadores y, en su caso, proponer y corregir las conductas contrarias al correcto desarrollo de sus obligaciones».

 

Lo que diferencia pues este expediente del E/03557/2014 reside en la secuencia material de hechos probados, en el procedimiento en virtud del cual se llega al despido. No es una cuestión en absoluto banal. El iter seguido aquí posee pleno sentido y permite alcanzar cierto grado de fundamentación. No es ni siquiera concebible que la identidad de resultado, -despedir a un vigilante de seguridad cuyo incumplimiento resulta probado por una imagen-, e incluso la de la entidad investigada, justifiquen un mismo resultado. Ello puede resultar razonable desde el punto de vista de un lego en Derecho. Pero en nuestro ámbito el procedimiento, sus garantías formales, y el riguroso ajuste entre los hechos probados y la consecuencia jurídica que se anuda lo es todo. Y en el asunto E/03557/2014 ni remotamente se aporta la menor evidencia de otra cosa que una decisión autónoma del encargado.

Aun así, en la resolución permanecen dos dudas significativas una interna y otra respecto de su repercusión en terceros casos. En primer lugar, subsistiría un problema más general relativo al uso del hallazgo casual en las imágenes captadas por sistemas de videovigilancia. En el caso de la STC 186/2000 existía un diseño intencional que implicaba el uso oculto de videocámaras para constatar una infracción grave. En este conflicto de derechos el Tribunal Constitucional consideró proporcional la medida. Seguir su criterio resolvería problemas de justicia material en aquellos casos en lo que existiendo un daño apreciable para el empleador no bastase con una acción meramente preventiva. No obstante, ello supone sin duda limitar el derecho fundamental a la información en la recogida de datos personales.

La segunda se refiere al uso legítimo de un “hallazgo casual”. Y ello obliga, a considerar en toda su profundidad la prohibición de uso para finalidades incompatibles. Pero este problema es en sí mismo objeto para otro estudio.