Todos los bancos cuentan con sistemas de videovigilancia o cámaras de seguridad, pero ¿qué dice la normativa de protección de datos sobre la videovigilancia en la banca? ¿Qué obligaciones RGPD y LOPD deben cumplir las entidades bancarias respecto al uso de sistemas de videovigilancia?
En este artículo hablamos de:
Videovigilancia en la banca y protección de datos
Los bancos, así como otras entidades financieras, están obligados a adoptar una serie de medidas de seguridad, específicas y generales, dentro del ejercicio de su actividad; entre esas medidas se encuentra la obligación de instalar sistemas de videovigilancia como elemento de prevención de la comisión de delitos en el establecimiento.
La instalación de un sistema de videovigilancia implica necesariamente el tratamiento de datos personales, especialmente teniendo en cuenta que, además, los sistemas de videovigilancia del banco no solo monitorean en tiempo real las imágenes del interior del establecimiento, sino que además graban y guardan dichas grabaciones como posible medio de prueba ante la comisión de un delito.
Por ello, las entidades financieras no solo tratan nuestros datos bancarios, sino que también tratan nuestra imagen (independiente de que el sistema de videovigilancia lo gestionen ellas o lo hagan a través de una empresa de seguridad privada), de manera que deben cumplir con una serie de obligaciones de la llamada ley de videovigilancia, que detallamos en el siguiente punto.
Obligaciones RGPD y LOPD para los sistemas de videovigilancia en la banca
El RGPD y la LOPD establecen una serie de obligaciones que los bancos u otras entidades financieras, como responsables del tratamiento de datos personales, deben cumplir:
- Finalidad y licitud del tratamiento:
La finalidad del uso de sistemas de videovigilancia en la banca es garantizar la seguridad de las personas, bienes e instalaciones, así como prevenir la comisión de delitos (dado que la presencia de cámaras de seguridad siempre entraña cierto elemento disuasorio). Además, como decíamos más arriba, las imágenes también podrán servir como prueba en caso de que se haya cometido un delito dentro de las instalaciones de la entidad, para identificar a los autores del mismo.
En cuanto a la licitud del tratamiento, la encontramos en el artículo 6.1, letras c, d y e, por lo que no es necesario recabar el consentimiento expreso de los interesados para la utilización de los sistemas de videovigilancia y el tratamiento de datos personales derivados de su empleo.
- Informar a los interesados:
Aunque el empleo de sistemas de videovigilancia en la banca no requiera de recabar el consentimiento, sí que el responsable deberá informar a los interesados de la presencia de las cámaras y del tratamiento de datos correspondiente.
Para ello se colocarán carteles de videovigilancia en cada uno de los accesos al establecimiento, en los que se indicará lo siguiente:
-
- Identidad del responsable del tratamiento
- Dirección para acceder a información detallada sobre el tratamiento de datos (finalidad, plazos de conservación, categorías de destinatarios, etc.)
- Vía para ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición)
En el caso de que las cámaras de videovigilancia se usen con otra finalidad distinta o aparte de la de seguridad, por ejemplo, el control del cumplimiento de las obligaciones laborales de los empleados del banco, el responsable del tratamiento deberá informar de dicha finalidad a los empleados.
- Derechos de los interesados:
Las entidades bancarias, en su calidad de responsables del tratamiento, deberán responder a las solicitudes de derechos de los interesados, que en general y en este caso serán los derechos de acceso y supresión, dentro de los plazos establecidos por el RGPD y la LOPD.
Si se niegan estos derechos, deberá hacerse de forma motivada.
- Registro de actividades de tratamiento:
La videovigilancia deberá incluirse en el registro de actividades de tratamiento de la entidad bancaria, con la siguiente información:
-
- Finalidad del tratamiento
- Categorías de datos tratados
- Categorías de interesados
- Base legitimadora del tratamiento
- Cesión de imágenes a terceros
- Plazo de conservación
- Medidas de seguridad adoptadas
- Plazo de conversación de las imágenes:
De acuerdo a la guía de la AEPD para el uso de sistemas de videovigilancia, el tiempo de conservación de imágenes de videovigilancia es de 30 días desde que se hizo la grabación, transcurridos los cuales, deberán ser suprimidas, salvo que las autoridades judiciales o las Fuerzas y Cuerpos de Seguridad del Estado dispongan lo contrario, en cuyo caso deberá conservarse el tiempo que sea necesario.
Respecto a cuánto tiempo guardan las grabaciones de los cajeros automáticos en España, ten en cuenta que el plazo es el mismo, 30 días, con las mismas condiciones para su acceso.
- Medidas de seguridad:
Se deben aplicar las medidas de seguridad técnicas y organizativas que garanticen la confidencialidad, integridad y disponibilidad de las grabaciones (ya sea el responsable del tratamiento quien lo haga o sea una de las tareas encomendadas al encargado del tratamiento).
Entre esas medidas, está limitar el acceso a las grabaciones solo al personal autorizado (en principio, salvo que ocurra un delito o incidente, nadie debería acceder o visualizar las imágenes de las cámaras de videovigilancia).
- Encargo de tratamiento:
Si la gestión y supervisión del sistema de videovigilancia lo realiza una empresa de seguridad privada, será necesario que la entidad bancaria firme con ella un contrato de encargo del tratamiento, en el que establezca las obligaciones que debe cumplir el encargado del tratamiento, la finalidad y las medidas de seguridad, así como qué hacer con los datos una vez cumplida la finalidad (en este caso, la supresión de las imágenes, salvo que sea necesaria su conservación según la excepción que vimos en el punto anterior).
- Colocación de las cámaras:
Aunque las entidades bancarias estén legitimadas para colocar sistemas de videovigilancia, cabe recordar que hay ciertas localizaciones en las que las cámaras de seguridad no pueden colocarse, como son:
- Zonas comunes, vestuarios y aseos para empleados de la entidad
- Cámaras que graben la vía pública (salvo una franja mínima para las cámaras colocadas en las puertas de acceso)
- Si se colocan cámaras en los cajeros externos, la cámara no debe evitar captar la vía pública en la medida de lo posible
¿Quién puede ver las imágenes de videovigilancia de los bancos?
En principio, solo pueden revisar las cámaras de seguridad de un banco las Fuerzas y Cuerpos de Seguridad del Estado, los Jueces y Tribunales, a los que, además, se debe facilitar las imágenes de hechos delictivos de manera inmediata.
En su caso, la AEPD (Agencia Española de Protección de Datos) también podrá tener acceso a estas imágenes en el transcurso de una investigación al responsable del tratamiento.
Así mismo, en el caso de monitoreo en tiempo real, los empleados autorizados de la empresa de seguridad que gestione las cámaras.
También es posible, teniendo una justificación adecuada, solicitar las grabaciones del banco o del cajero (aquí te explicamos cómo puedes pedir las grabaciones de un cajero).
Sanciones por cámaras de videovigilancia en bancos
No cumplir las obligaciones respecto a videovigilancia y LOPD citadas en los puntos anteriores, puede suponer la imposición de sanciones por cámaras de videovigilancia, cuya cuantía dependerá de la gravedad de la infracción cometida.
Estas son los aspectos clave respecto a la LOPD y RGPD y videovigilancia en la banca, pero si todavía tienes dudas sobre el tema, puedes ponerte en contacto con Grupo Atico34 y nuestro equipo de profesionales te ayudará a solucionar cualquier duda respecto a la videovigilancia de tu entidad bancaria.