Datos personales y cámaras de seguridad (Disposición nº 10/2015)

A comienzos de 2015 se ha comenzado la reglamentación del uso de los Datos Personales, en especial con respecto a las grabaciones realizadas con cámaras. Si bien esto apunta a regular en forma genérica todos los asientos de video tomados, está particularmente enfocado a las cámaras fijas de seguridad, que es lo que vamos a analizar en la presente entrega.

La Disposición nº 10/2015 de la Dirección de Datos Personales en sí misma es muy corta pero tiene un Anexo que es el que regula todo el tema de fondo. Sus disposiciones ya se encuentran vigentes (copiamos abajo los artículos que encontramos como más relevantes, junto con la remisión a los artículos de la Ley de Protección de Datos Personales (25.326).

La principal novedad que trae esta disposición es que en los clásicos y ya vistos carteles de “Por razones de seguridad lo estamos filmando” ahora se debe incluir el responsable del tratamiento de las grabaciones junto con su domicilio y datos. Siempre tiene que existir un responsable del tratamiento de datos claramente identificado (y mencionado en los carteles, como el que adjuntamos a esta nota). No queda totalmente claro si tiene que ser sí o sí una persona física o puede tratarse de una jurídica (no se encuentran expresamente excluidas); lo que sí establece (por remisión) son los procedimientos ante reclamos de particulares acerca de los datos que fueran recopilados.

También contiene algunas limitaciones (lógicas) con respecto a lo que se puede grabar para resguardar el derecho a la privacidad de las personas. Si bien con cierto sentido común se pueden evitar la mayoría de los posibles conflictos, sugerimos a las empresas que tengan sistemas de vigilancia instalados (o piensen hacerlo) realizar una consulta con sus abogados.

Otro tema al que el público en general suele no prestarle atención pero es importante es el fin para el que se realiza la grabación. De acuerdo a los textos legales, este fin debe estar claramente explicitado en los carteles informativos y / o los consentimientos expresos (según corresponda en cada caso) y no pueden ser utilizados con otro fin. Esto es importante a la hora de que la inversión que, por ejemplo, una empresa hace en seguridad pueda ser aprovechada. Pruebas fehacientes y muy contundentes podrían ser desestimadas en un eventual juicio por falta de cumplimiento de este requisito.

Con respecto a las opciones para contar con sistemas de seguridad por cámaras, hay empresas que compran sus propias cámaras y las instalan por sí mismas. En tal caso, todas las precauciones con respecto a lo que se puede (o no) grabar y el tratamiento y almacenamiento de los datos recolectados caerán sobre ellas mismas. En estos casos es vital que se asesoren adecuadamente con un profesional especialista en datos personales e informática para evitar cualquier tipo de contingencia judicial.

Por otro lado, si se busca minimizar las responsabilidades y tareas en cabeza de la empresa, existen compañías especialistas en seguridad que se ocupan desde la instalación y mantenimiento de las cámaras hasta el almacenamiento y seguridad informática, muchas incluso las alojan en servidores web con estrictas medidas de seguridad y pueden ser chequeadas por el personal jerárquico de la empresa desde cualquier lugar con conexión a internet teniendo solamente la dirección IP del servidor y su usuario y contraseña. Cualquier empresa que quiera brindar el servicio de almacenamiento y tratamiento de datos debe encontrarse inscripta dentro del Registro Nacional de Bases de Datos.

Si bien la existencia de estas empresas no deslindan de responsabilidad a la usuaria, con un buen contrato entre las firmas con la adecuada cláusula de indemnidad, las contingencias pueden minimizarse casi por completo. Si bien son especialistas en materia de seguridad, también recomendamos contar con el visto bueno de un abogado al momento de decidir lo que se graba para asegurarse que la grabación pueda ser utilizada posteriormente y no implique ningún tipo de responsabilidad solidaria de la empresa usuaria.

Para mayor información de nuestros lectores, dejamos a continuación los artículos más importantes para este tema de la Resolución y la Ley 25.326.

 

Diego J. Nunes

Abogado

Estudio Nunes & Asoc.

 

 

Resolución Nº 10/2015

 

ANEXO I

CONDICIONES DE LICITUD PARA LAS ACTIVIDADES DE RECOLECCIÓN Y POSTERIOR TRATAMIENTO DE IMÁGENES DIGITALES DE PERSONAS CON FINES DE SEGURIDAD

ARTICULO 1°.- (Requisitos de licitud de la recolección).

La recolección de imágenes digitales de las personas a través de cámaras de seguridad será lícita en la medida que cuente con el consentimiento previo e informado del titular del dato en los términos previstos por los artículos 5° y 6° de la Ley N° 25.326. (ver abajo)

El cumplimiento del requisito de información previa al titular del dato podrá lograrse a través de carteles que en forma clara indiquen al público la existencia de dichos dispositivos de seguridad (sin que sea necesario precisar su emplazamiento puntual), los fines de la captación de las imágenes y el responsable del tratamiento con su domicilio y datos de contacto para el correcto ejercicio de los derechos por parte del titular del dato.

 

Siempre y cuando la recolección de las imágenes personales no impliquen una intromisión desproporcionada en su privacidad, no será necesario requerir el consentimiento previo del titular del dato en los siguientes casos:

1. a) los datos se recolecten con motivo de la realización de un evento privado (se realice o no en espacio público) en el que la recolección de los datos sea efectuada por parte del organizador o responsable del evento; o
2. b) la recolección de los datos la realice el Estado en el ejercicio de sus funciones, siendo en principio suficiente notificación de los requisitos del artículo 6° de la Ley N° 25.326 su publicación en el Boletín Oficial (conforme artículo 22 de la Ley N° 25.326); sin perjuicio de ello, en las oficinas y/o establecimientos públicos deberá hacerse saber dicha recolección conforme lo dispuesto en el segundo párrafo del presente artículo; o
3. c) los datos se recolecten dentro de un predio de uso propio (por ejemplo: ser propiedad privada, alquilado, concesión pública, etc.) y/o su perímetro sin invadir el espacio de uso público o de terceros, salvo en aquello que resulte una consecuencia inevitable, debiendo restringirlo al mínimo necesario y previendo mecanismos razonables para que el público y/o los terceros se informen de una eventual recolección de su información personal en tales circunstancias.

 

ARTICULO 2°.- (Respeto de la finalidad)

Las imágenes registradas no podrán ser utilizadas para una finalidad distinta o incompatible a la que motivó su captación. El Estado sólo podrá disponer su difusión al público cuando se encuentre autorizado por ley o por decisión de funcionario competente y medie un interés general que lo justifique.

 

ARTICULO 3º.- (Calidad del dato).

De conformidad con lo establecido en el artículo 4° inciso 1 de la Ley N° 25.326, la información que se recabe debe ser adecuada, pertinente y no excesiva en relación a la finalidad para la que se hubiera obtenido, y por tales motivos deberá cuidarse que las imágenes obtenidas se relacionen estrictamente con los fines perseguidos evitándose mediante esfuerzos razonables la captación de detalles que no sean relevantes para la consecución de los objetivos que justifican la recolección del material fotográfico o fílmico.

Deberá evitarse especialmente cualquier afectación del derecho a la privacidad, cuidando de no instalar dispositivos de captación de imágenes en ámbitos inapropiados que no permitan verificar la debida proporcionalidad entre las razones de seguridad que motivan la toma de las imágenes y la intromisión efectuada en la intimidad de las personas.

Las imágenes registradas que sean atentatorias de los derechos de las personas (ej. intimidad) deberán ser eliminadas en cuanto ello fuera constatado por el responsable o a pedido del titular del dato, lo que resulte primero.

Deberá determinarse el tiempo por el cual resultará de utilidad el registro de las imágenes, y eliminarse las mismas una vez vencido el plazo.

 

ARTICULO 4°.- (Seguridad y confidencialidad)

En cumplimiento de lo dispuesto por el artículo 9° de la Ley N° 25.326, el responsable de la bases de datos deberá adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.

El responsable del tratamiento debe también tomar los recaudos necesarios para garantizar la confidencialidad de dicha información. Esta obligación alcanza a las personas que intervengan en cualquier fase del tratamiento de datos como usuarios o empleados del responsable. Tal obligación subsistirá aun después de finalizada su relación con el titular de la base de datos.

 

ARTICULO 5°.- (Ejercicio de los derechos del titular del dato)

El responsable del tratamiento de datos debe prever la entrega de la información personal que soliciten los titulares a través del derecho de acceso y su rectificación o supresión en caso que sea procedente, en los términos de los artículos 14, 15, 16, 17 y 19 de la Ley N° 25.326.

 

ARTICULO 6°.– (Inscripción).

Deberán inscribirse en el REGISTRO NACIONAL DE BASES DE DATOS dependiente de esta DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, todas aquellas bases de datos en las que se almacenen datos personales recabados mediante cámaras de seguridad en los términos ya previstos por las Disposiciones DNPDP Nros. 2 del 14 de febrero de 2005, 3 del 4 de abril de 2005 y 10 del 18 de setiembre de 2006. Al inscribirse, deberán adjuntar al Formulario de Inscripción de dichos bancos de datos el manual de tratamiento de datos personales indicado en el artículo siguiente.

 

ARTICULO 7º.- (Manual de tratamiento de datos).

Los responsables de las actividades de recolección y posterior tratamiento de imágenes digitales de personas con fines de seguridad deberán contar con un manual o política de tratamiento de datos personales y privacidad, que ponga en práctica las condiciones de licitud previstas en la Ley N° 25.326 para el caso concreto. Éste deberá contener al menos la siguiente información: forma de la recolección; referencia de los lugares, fechas y horarios en los que se prevé que operarán; plazo de conservación de los datos; mecanismos técnicos de seguridad y confidencialidad previstos; medidas dispuestas para el cumplimiento de los derechos del titular del dato contemplados en los artículos 14, 15 y 16 de la Ley N° 25.326 y los argumentos que justifiquen la toma de fotografías para el ingreso al predio, en caso de disponerse dicha medida de seguridad.

 

 

Ley 25.326

 

ARTICULO 4° — (Calidad de los datos).

Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido.

 

ARTICULO 5° — (Consentimiento).

1. El tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias.

El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artículo 6° de la presente ley.

2. No será necesario el consentimiento cuando:
3. a) Los datos se obtengan de fuentes de acceso público irrestricto;
4. b) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal;
5. c) Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio;
6. d) Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento;
7. e) Se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes conforme las disposiciones del artículo 39 de la Ley 21.526.

 

ARTICULO 6° — (Información).

Cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa y clara:

1. a) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios;
2. b) La existencia del archivo, registro, banco de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable;
3. c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos referidos en el artículo siguiente;
4. d) Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos;
5. e) La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos.

 

ARTICULO 9° — (Seguridad de los datos).

1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
2. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.

 

ARTICULO 14. — (Derecho de acceso).

1. El titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar y obtener información de sus datos personales incluidos en los bancos de datos públicos, o privados destinados a proveer informes.
2. El responsable o usuario debe proporcionar la información solicitada dentro de los diez días corridos de haber sido intimado fehacientemente.

Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe, éste se estimara insuficiente, quedará expedita la acción de protección de los datos personales o de hábeas data prevista en esta ley.

3. El derecho de acceso a que se refiere este artículo sólo puede ser ejercido en forma gratuita a intervalos no inferiores a seis meses, salvo que se acredite un interés legítimo al efecto.
4. El ejercicio del derecho al cual se refiere este artículo en el caso de datos de personas fallecidas le corresponderá a sus sucesores universales.

 

ARTICULO 15. — (Contenido de la información).

1. La información debe ser suministrada en forma clara, exenta de codificaciones y en su caso acompañada de una explicación, en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen.
2. La información debe ser amplia y versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales. En ningún caso el informe podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado.
3. La información, a opción del titular, podrá suministrarse por escrito, por medios electrónicos, telefónicos, de imagen, u otro idóneo a tal fin.

 

ARTICULO 16. — (Derecho de rectificación, actualización o supresión).

1. Toda persona tiene derecho a que sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad los datos personales de los que sea titular, que estén incluidos en un banco de datos.
2. El responsable o usuario del banco de datos, debe proceder a la rectificación, supresión o actualización de los datos personales del afectado, realizando las operaciones necesarias a tal fin en el plazo máximo de cinco días hábiles de recibido el reclamo del titular de los datos o advertido el error o falsedad.
3. El incumplimiento de esta obligación dentro del término acordado en el inciso precedente, habilitará al interesado a promover sin más la acción de protección de los datos personales o de hábeas data prevista en la presente ley.
4. En el supuesto de cesión, o transferencia de datos, el responsable o usuario del banco de datos debe notificar la rectificación o supresión al cesionario dentro del quinto día hábil de efectuado el tratamiento del dato.
5. La supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos.
6. Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable o usuario del banco de datos deberá o bien bloquear el archivo, o consignar al proveer información relativa al mismo la circunstancia de que se encuentra sometida a revisión.
7. Los datos personales deben ser conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario del banco de datos y el titular de los datos.

 

ARTICULO 17. — (Excepciones).

1. Los responsables o usuarios de bancos de datos públicos pueden, mediante decisión fundada, denegar el acceso, rectificación o la supresión en función de la protección de la defensa de la Nación, del orden y la seguridad públicos, o de la protección de los derechos e intereses de terceros.
2. La información sobre datos personales también puede ser denegada por los responsables o usuarios de bancos de datos públicos, cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. La resolución que así lo disponga debe ser fundada y notificada al afectado.
3. Sin perjuicio de lo establecido en los incisos anteriores, se deberá brindar acceso a los registros en cuestión en la oportunidad en que el afectado tenga que ejercer su derecho de defensa.

 

ARTICULO 19. — (Gratuidad).

La rectificación, actualización o supresión de datos personales inexactos o incompletos que obren en registros públicos o privados se efectuará sin cargo alguno para el interesado.o para el interesado.