En esta guía de protección de datos para empresas de seguridad revisaremos los aspectos principales que deben contemplar este tipo de negocios a la hora de cumplir con la normativa de protección de datos.
En este artículo hablamos de:
- ¿Están obligadas las empresas de seguridad a cumplir con la Ley de Protección de Datos?
- Normativa de protección de datos para empresas de seguridad
- Cómo adaptar la normativa de protección de datos en una empresa de seguridad
- La empresa de seguridad como responsable del tratamiento
- La empresa de seguridad como encargado del tratamiento
- Informar a los interesados del tratamiento de sus datos
- Recogida del consentimiento expreso
- Registro de actividades de tratamiento
- Hacer análisis de riesgos
- Firmar contratos de encargado de tratamiento
- Confidencialidad de los empleados
- Cumplir con la legalidad en la página web
- Designar un Delegado de Protección de Datos (DPO)
- Notificar brechas de seguridad
- Realizar auditorías periódicas
- Sanciones por no cumplir la Ley de Protección de Datos para empresas de seguridad
- Preguntas frecuentes
- ¿Cuándo la empresa de seguridad actúa como responsable del tratamiento y cuándo como encargado?
- ¿Si la empresa de seguridad tiene acceso a las cámaras instaladas en un domicilio particular, tiene que firmar un contrato de encargado de tratamiento?
- ¿La designación del DPO siempre es obligatoria para las empresas de seguridad?
- ¿Pueden las empresas de seguridad acceder siempre a las imágenes captadas por las cámaras?
- ¿Cuánto tiempo se pueden conservar las imágenes de las cámaras de seguridad?
- ¿Necesita tu empresa de seguridad cumplir con el RGPD y la LOPDGDD? Contacta con Grupo Atico34
¿Están obligadas las empresas de seguridad a cumplir con la Ley de Protección de Datos?
Las empresas de seguridad están obligadas a cumplir con la Ley de Protección de Datos, puesto que, entre otros datos personales a los que pueden tener acceso, tratan datos de categorías especiales, como son los biométricos, lo que, además, implica que deben cumplir con algunas obligaciones más en materia de protección de datos.
Contrata servicios de protección de datos para tu empresa de seguridad.
Normativa de protección de datos para empresas de seguridad
La normativa de protección de datos en empresas de seguridad la encontramos en:
- RGPD (Reglamento General de Protección de Datos)
- LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales)
- Ley de Seguridad Privada
- LSSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico)
RGPD para empresas de seguridad
En vigor desde 2016, el RGPD es el marco normativo europeo en materia de protección de datos, mediante el que se establecen las obligaciones y normas que deben cumplir todos los Estados miembros de la UE para garantizar el respeto a la privacidad de sus ciudadanos por parte de entidades públicas y privadas.
El RGPD contempla una serie de principios, obligaciones y requisitos que toda entidad que trate con datos personales debe contemplar y cumplir, pudiendo los Estados miembros ampliar, detallar o hacer más restrictivas algunas de ellas.
Al RGPD debemos que exista una distinción entre datos personales de carácter general y datos personales de categorías especiales (que exigen una mayor protección y atención), así como la creación de la figura del Delegado de Protección de Datos (DPO) o el registro de actividades de tratamiento, entre otras novedades que introdujo en 2016.
LOPDGDD para empresas de seguridad
La LOPDGDD es la adaptación del RGPD al ordenamiento jurídico español. Está en vigor desde 2018 y recoge las mismas obligaciones que el Reglamento europeo, con algunas modificaciones propias a tener en cuenta, como son el testamento digital, la graduación de las infracciones y sanciones, los derechos de los fallecidos sobre sus datos personales o las actividades en las que es obligatorio tener un DPO.
En cualquier caso, si tu empresa de seguridad cumple con la LOPDGDD, estará cumpliendo también con el RGPD para empresas.
Cómo adaptar la normativa de protección de datos en una empresa de seguridad
En los siguientes puntos veremos las claves que debes conocer para que tu empresa de seguridad cumpla con la normativa de protección de datos de manera adecuada. Aunque antes nos detendremos en una cuestión importante: saber cuándo la empresa de seguridad es la responsable del tratamiento y cuándo la encargada del tratamiento, puesto que implica algunas obligaciones diferentes.
La empresa de seguridad como responsable del tratamiento
La empresa de seguridad es la responsable del tratamiento cuando instale un sistema y cámaras de seguridad en el domicilio de una persona física y tenga acceso a dichas imágenes; es decir, cuando salta la alarma, la empresa de seguridad puede acceder a las imágenes captadas por las cámaras de seguridad.
Las obligaciones cuando las empresas de seguridad son responsables del tratamiento, las veremos más adelante.
La empresa de seguridad como encargado del tratamiento
La empresa de seguridad actuará como encargado del tratamiento cuando sus clientes sean personas jurídicas (empresas, organismos públicos o comunidades de propietarios) y puedan acceder de manera remota a las imágenes captadas por las cámaras de seguridad. Es decir, cuando, aparte de instalar el sistema de seguridad, también lo supervisan.
Cuando las empresas de seguridad actúan como encargados del tratamiento, deben firmar con el responsable del tratamiento (la empresa, organismo público o comunidad de propietarios que les haya contratado) un contrato de encargo de tratamiento, que, como mínimo, contendrá:
- Las instrucciones dadas por el responsable del tratamiento
- El acuerdo de confidencialidad
- Las medidas de seguridad adoptadas
- El régimen de subcontratación
- Cómo asistirá al responsable ante la solicitud de ejercicio de derechos de los interesados
- La colaboración con el responsable para cumplir las obligaciones de la normativa
- El destino de los datos una vez finalizado el contrato
Es necesario que las empresas de seguridad firmen un contrato de encargado del tratamiento con sus clientes cuando accedan a las imágenes de manera remota, independientemente de que estos clientes de las empresas de seguridad se traten de empresas o de órganos corporativos.
Informar a los interesados del tratamiento de sus datos
Como responsables del tratamiento de datos personales, las empresas de seguridad tienen la obligación de informar a los interesados (los titulares de los datos) de que se van a tratar sus datos, cumpliendo así con el principio de transparencia del RGPD. Esta información incluirá:
- La identidad del responsable del tratamiento y del Delegado de Protección de Datos (DPO). Si procede, también la del encargado del tratamiento
- La finalidad del tratamiento
- La base legitimadora del tratamiento (sea este el consentimiento expreso del interesado recogido en la firma del contrato o alguno de los fines recogidos en las letras b, c, d, e o f del artículo 6 del RGPD)
- Si los datos serán cedidos a terceros y su identidad
- Si se van a producir transferencias internacionales de datos
- El plazo de conservación de los datos
- La vía para que los interesados puedan ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición)
Lo habitual es que esta información se suministre como anexo o cláusula en el contrato, para que los interesados puedan firmarlo, dando así su consentimiento para el tratamiento de datos. También se puede facilitar una dirección web en la que se pueda consultar toda esta información (de manera no muy diferente a lo que sería la política de privacidad web).
Recogida del consentimiento expreso
Ya lo hemos adelantado, el consentimiento RPGD debe ser expreso, lo que implica que los interesados lo den mediante una acción positiva, como es la firma del contrato que mencionábamos en el punto anterior.
Aunque el consentimiento expreso solo es válido para cumplir con la finalidad del tratamiento para el que ha sido recabado, algunos de los tratamientos que pueden llevar a cabo las empresas de seguridad se legitiman en los supuestos recogidos en el artículo 6 del RGPD, por lo que en esos casos no sería necesario volver a recabar el consentimiento del cliente.
Registro de actividades de tratamiento
Otra de las obligaciones en protección de datos para empresas de seguridad (como responsables o encargados del tratamiento) es llevar un registro de actividades de tratamiento. Se trata de un documento que recoge toda la información pertinente al tratamiento de datos, debiendo cumplimentarse uno por cada tratamiento de datos diferente que se lleve a cabo y actualizando los existentes cuando sea necesario.
No es necesario inscribir los registros de actividades de tratamiento en ningún sitio, pero sí deben estar disponibles para la AEPD, si esta los solicita en el transcurso de una inspección o investigación.
El contenido mínimo del registro de actividades de tratamiento es el siguiente:
- Datos identificativos y de contacto del responsable del tratamiento, del DPO y, si procede, del encargado del tratamiento
- Base legitimadora del tratamiento
- Finalidad del tratamiento
- Descripción de las categorías de interesados y de las categorías de datos
- Descripción de las categorías de destinatarios existentes (y previstos)
- Si se van a realizar transferencias internacionales, descripción de sus garantías
- Descripción, si es posible, de las medidas de seguridad
- Plazos de conservación de los datos
Hacer análisis de riesgos
Como responsables o encargados del tratamiento, las empresas de seguridad deben llevar a cabo los correspondientes análisis de riesgos de los tratamientos de datos que vayan a realizar, para determinar las amenazas que se pueden derivar de ellos para los derechos y libertades de los interesados (sean estas físicas o digitales).
A través de los resultados del análisis de riesgos, los responsables del tratamiento podrán adoptar las medidas técnicas y organizativas necesarias y adecuadas para garantizar la seguridad de los datos o, al menos, reducir las posibilidades de que las amenazas se materialicen y, si lo hacen, minimizar su impacto.
¿Tienen las empresas de seguridad que hacer una evaluación de impacto?
Las empresas de seguridad, tanto en su calidad de responsable del tratamiento como de encargado del tratamiento, están obligadas a realizar una evaluación de impacto en protección de datos (EIPD), puesto que tratan datos personales de manera sistemática, pudiendo tratar datos de categorías especiales, además de poder llevar a cabo la observación sistemática a gran escala de zonas de acceso público.
Para realizar la EIPD, la empresa de seguridad puede recurrir al asesoramiento de su DPO. Esta evaluación servirá, como en el caso del análisis de riesgos, para determinar los peligros que para los derechos y libertades de los interesados puede suponer un tratamiento de datos concreto y adoptar, en consecuencia, las medidas de seguridad necesarias para reducir las probabilidades de que esos peligros se materialicen o reducir su impacto si acaban produciéndose.
Firmar contratos de encargado de tratamiento
Las empresas de seguridad, como responsables del tratamiento, deberán firmar un contrato de encargo de tratamiento cuando cedan datos personales a otras empresas, como puede ocurrir, por ejemplo, con los datos de sus empleados y la gestoría que se ocupe de sus nóminas.
En el caso de que fueran a ceder datos de sus clientes a terceros, cuando actúan en calidad de encargado del tratamiento, al subcontratar algún servicio, deberán antes consultarlo con el responsable del tratamiento (porque en principio, el encargado del tratamiento no puede subcontratar a otro encargado).
Confidencialidad de los empleados
Puesto que los empleados de la empresa de seguridad (o parte de ellos, al menos) podrán tener acceso a los datos personales de los clientes, será necesario que estos cumplan con el deber de mantener la confidencialidad de dichos datos. Para reforzar este compromiso, se puede recurrir a la firma de cláusulas de confidencialidad en el contrato de trabajo o anexas a este.
En estas cláusulas se puede, además, incluir la información relativa a las consecuencias de cumplir con esta obligación o no seguir el protocolo de protección de datos y normas de seguridad a aplicar en el tratamiento de datos por parte de los empleados.
Cumplir con la legalidad en la página web
Cuando las empresas de seguridad cuenten con página web, esta deberá cumplir con los requisitos que para ellas se establecen en la normativa de protección de datos y la LSSI-CE. En concreto, la página web de la empresa de seguridad deberá tener accesible desde cualquier sección los siguientes apartados:
- Aviso legal: Recoge los datos identificativos de la empresa de seguridad:
- Nombre o razón social
- CIF/NIF
- Dirección
- N.º de inscripción en el Registro Mercantil
- Términos y condiciones
- Política de privacidad: Recoge toda la información relativa a la gestión de los datos personales en la web:
- Identidad del responsable del tratamiento
- Finalidad del tratamiento
- Base legitimadora del tratamiento
- Cómo se gestionan los datos personales
- Plazo de conservación de los datos
- Cesiones a terceros (identificados)
- Uso de cookies
- Vía para ejercer los derechos ARSULIPO
- Política de cookies y aviso de cookies: Recogen toda la información relativa a las cookies que se emplean en la web (finalidad, titularidad, tipo, tiempo de conservación), permitiendo al usuario que pueda aceptarlas o rechazarlas
Designar un Delegado de Protección de Datos (DPO)
Las empresas de seguridad deben designar un Delegado de Protección de Datos, puesto que son una de las actividades recogidas en el artículo 34 de la LOPDGDD.
Mientras que designar un Delegado de Protección de Datos es obligatorio para este tipo de empresas, la normativa permite que este pueda ser un empleado interno de la empresa de seguridad, con los conocimientos suficientes en materia de protección de datos para desempeñar sus funciones y obligaciones (entre ellas, el asesoramiento al responsable del tratamiento y la interlocución con la AEPD). O puede contratarse un DPO externo, por ejemplo, a través de una consultoría especializada en protección de datos, cuya objetividad, independencia y autonomía serán mayores, además de contar con una mayor experiencia y práctica, asegurando así un mejor cumplimiento de la normativa.
Protección de datos y DPO desde solo 180 euros al año.
Notificar brechas de seguridad
Si se produce alguna brecha de seguridad, el responsable o el encargado del tratamiento deberá informar de ello en un plazo no superior a 72 horas a la AEPD y a los interesados cuyos datos personales puedan haberse visto afectados.
Realizar auditorías periódicas
La auditoría de protección de datos ya no es una obligación recogida explícitamente en la LOPDGDD o el RGPD, pero la normativa sí establece la obligación del responsable y del encargado del tratamiento de demostrar que cuentan con las medidas de seguridad adecuadas, suficientes y efectivas para garantizar la protección de datos de los interesados. La mejor forma de poder demostrarlo es a través de los informes de auditoría.
Estos informes recogerán las conclusiones de la auditoría, aquellas carencias o problemas que se hayan podido detectar y las medidas correctoras recomendadas y aplicadas.
Las auditorías se deberán hacer cada uno o dos años, a través de un servicio externo para garantizar la objetividad de las mismas.
Sanciones por no cumplir la Ley de Protección de Datos para empresas de seguridad
No cumplir con la Ley de Protección de Datos para empresas de seguridad es motivo de sanción, cuya cuantía se determinará en función de la gravedad, los datos afectados, el número de interesados afectados y la duración en el tiempo de dicha infracción.
La LOPDGDD establece el siguiente régimen sancionador:
- Infracciones leves (artículo 74): sanción de hasta 40.000 euros
- Infracciones graves (artículo 73): sanción entre 40.001 euros a 300.000 euros
- Infracciones muy graves (artículo 72): sanción entre 300.001 euros a 20 millones de euros o el 4% de la facturación anual
Preguntas frecuentes
¿Cuándo la empresa de seguridad actúa como responsable del tratamiento y cuándo como encargado?
Como ya vimos más arriba, la empresa de seguridad actúa como responsable del tratamiento cuando sus clientes son personas físicas que instalan un sistema de seguridad con cámaras en su domicilio, pudiendo la empresa acceder remotamente a dichas cámaras.
Y la empresa de seguridad actúa como encargado del tratamiento cuando sus clientes son personas jurídicas y pueden acceder de manera remota a las imágenes captadas por las cámaras, así como tener acceso a otro tipo de datos personales que puedan recogerse a través del sistema de seguridad instalado.
¿Si la empresa de seguridad tiene acceso a las cámaras instaladas en un domicilio particular, tiene que firmar un contrato de encargado de tratamiento?
Como hemos visto en la pregunta anterior, no, ya que la empresa de seguridad actúa en este caso como responsable del tratamiento.
¿La designación del DPO siempre es obligatoria para las empresas de seguridad?
Sí, de acuerdo a la Ley de Protección de Datos, las empresas de seguridad siempre deben designar o contratar un DPO, ya que su actividad está contemplada dentro de los supuestos recogidos en el artículo 34 de LOPDGDD.
¿Pueden las empresas de seguridad acceder siempre a las imágenes captadas por las cámaras?
Para responder a esta pregunta debemos tener en cuenta dónde están instaladas las cámaras de seguridad.
Si se trata de un domicilio particular o el local comercial o industrial de una empresa, las empresas de seguridad (los empleados que se ocupen de esta labor) podrán acceder a las imágenes captadas por las cámaras solo cuando salte la alarma y deban hacer la correspondiente comprobación para determinar el motivo que ha hecho saltar la alarma.
Si se trata del circuito cerrado de TV (CCTV) de un centro comercial, una administración pública o similar, los empleados de la empresa de seguridad encargados de su supervisión, podrán acceder en tiempo real a las imágenes captadas por las cámaras, llevando a cabo un monitoreo de las mismas.
¿Cuánto tiempo se pueden conservar las imágenes de las cámaras de seguridad?
Las empresas de seguridad podrán conservar las imágenes por un periodo de 30 días. Si hubiese producido una infracción captada por las cámaras, este periodo se amplía durante el tiempo que dure la investigación y, si se produce, el juicio.
¿Necesita tu empresa de seguridad cumplir con el RGPD y la LOPDGDD? Contacta con Grupo Atico34
Cumplir con la normativa de protección de datos para empresas de seguridad puede ser una tarea compleja, que exige, además, llevar a cabo evaluaciones de impacto y designar un DPO. Por ese motivo, es recomendable contratar los servicios de una consultoría especializada en protección de datos, como Grupo Atico 34, donde encontrarás un equipo de abogados expertos en la materia que se asegurarán de que tu empresa de seguridad, sea responsable o encargada del tratamiento, cumpla con todas las obligaciones y requisitos exigidos por esta.
Si tu empresa de seguridad aún no se ha adaptado al RGPD y la LOPDGDD y quieres evitar cuantiosas sanciones, no dudes en ponerte en contacto con Grupo Atico34 y descubrir qué podemos hacer por tu negocio.