Criterios interpretativos personales sobre la protección de datos en las empresas de seguridad privada.

El principio general aplicable al tratamiento de datos que pueda desarrollarse por las Empresas y personal de seguridad privada actualmente en España, viene determinado de conformidad con lo previsto por el nuevo RGDP y LOPD española, por la Ley de Seguridad Privada, sus normas de desarrollo. De forma complementaria la Empresa de Seguridad y sus clientes deberán sustentar la base jurídica en el tratamiento de datos que puedan recabarse al amparo de las condiciones generales y particulares pactadas en el contrato de arrendamiento de servicios de seguridad privada firmado entre Empresa y cliente, con especial mención a la Declaración escrita de tratamiento expresada en el artículo 28.3 del RGPD.

Las operaciones de tratamiento de datos desarrolladas por las Empresas de Seguridad durante la prestación de sus servicios deberán estar destinadas en caso de tratarse de información relevante para la prevención, mantenimiento o restablecimiento de la seguridad ciudadana a su cesión a la Seguridad Publica, dado el carácter complementario y subordinado que las Empresas y personal de seguridad privada tienen frente a la Seguridad Publica.

Todo este tratamiento de datos especial determinado por una normativa interna española resulta aplicable a los servicios de seguridad privada.

Sin duda alguna que este especial tratamiento aplicable viene amparado en el Considerando 45 del RGPD, en relación con el artículo 6 letras c) y e) del mismo texto reglamentario, cuando se afirma literalmente:

“Cuando se realice en cumplimiento de una obligación legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, el tratamiento debe tener una base en el Derecho de la Unión o de los Estados miembros. Una norma puede ser suficiente como base para varias operaciones de tratamiento de datos basadas en una obligación legal aplicable al responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos. La finalidad del tratamiento también debe determinase en virtud del Derecho de la Unión o de los Estados miembros”.

Además, dicha norma (añado disposición reglamentaria de Seguridad Privada en España pendiente de aprobación a fecha actual) debería especificar y desarrollar las condiciones generales del presente Reglamento por las que se rige la licitud del tratamiento de datos personales, establecer especificaciones para la determinación del responsable del tratamiento, el tipo de datos personales objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservación de los datos y otras medidas para garantizar un tratamiento licito y leal”.

Este especial tratamiento atribuido a las Empresas y personal de seguridad privada por la Legislación de Seguridad Privada en las operaciones de tratamiento de datos, viene posteriormente ratificado en el artículo 2 apartado 3 de la Ley Orgánica Española 3/2018 de 5 de diciembre de Protección de Datos Personales y garantía de derechos digitales, relativo al ámbito de aplicación de la LOPD respecto de las actividades/servicios de seguridad privada, cuando establece:

“3. Los tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación especifica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica”.

Las operaciones de tratamiento de datos desarrolladas actualmente por las empresas de seguridad privada autorizadas en España se hallan limitadas normativamente tanto en el acceso como en el tratamiento y conservación de los datos personales producidos durante el desarrollo de su actividad a lo determinado y fijado por la normativa de seguridad privada de España.

A título de ejemplo, los servicios de gestión de señales de alarma prestados por las Centrales Receptoras de Alarmas (CRA) son servicios de seguridad privada limitados en cuanto a las operaciones de tratamiento de datos básicas tales como el acceso a dicha información por personal autorizado por la normativa de seguridad privada. Por consiguiente, estaría totalmente prohibido que personal no integrado en dichas Empresas de Seguridad y que sea declarado ante la autoridad policial competente realicen operaciones de tratamiento de datos.

Seguir leyendo en

Fuente: Interempresas

Un comentario

  1. Pero….. Debemos diferenciar de los tratamientos de:
    1-La empresa de seguridad, como responsable.
    2- La empresa de seguridad, como encargada, (responsable, el arrendatario de servicios de seguridad privada.
    3-El Vigilante de Seguridad, como ¿Responsable?, ¿Encargado?, o simplemente obligado legalmente….
    Veamos, en el caso de que se identifique a un delincuente, para comunicar filiación a FFCCS, a un infractor, para cursar su correspondiente denuncia, matrícula de un vehículo, implicado o relacionado, para utilidad de FFCCS, en investigaciones policiales, judiciales, o como prueba; La ley de seguridad privada obliga al vigilante de seguridad a lo mencionado, y a la empresa de seguridad privada, respecto los canales de colaboración con FFCCS, y el ¿informe de servicio?, a requerimiento de la unidad de seguridad privada de la policía nacional y/o la guardia civil, otras policías si procediese.

    Diferente del tratamiento de datos recogidos en el normal desarrollo de un control de accesos, verificación de identidades de personas autorizadas, comprobaciones de derechos de acceso, cuyo responsable es el cliente, y la empresa mera encargada……
    Y es necesario que el cliente hubiera formalizado contrato de encargo de tratamiento, pues de lo contrario, aún estando el vigilante habilitado para ello por sus funciones de seguridad privada, no queda obligado por la ley, si no tuviera permiso y orden del responsable del tratamiento.

    Algunos mandos intermedios de la empresa de seguridad privada, si no hubieran sido delegados en funciones del jefe de seguridad privada, o ejerciesen uniformados como personal operativo habilitado, ¿podrían tratar datos de delincuentes o infractores?, en los términos correspondientes a la empresa de seguridad privada, y lo que si es seguro, NO podrían tratar datos (imágenes de los centros de video vigilancia activa en los servicios, pero si tratamientos posteriores (para extraer grabaciones), si el responsable les autorizase.

    Como podemos observar, pese a que el tratamiento digital de datos esté más o menos regulado, el tratamiento “manual”, reservado a vigilantes de seguridad (delincuentes e infractores), queda en el aire, posibilitando errores en el tratamiento, por falta de concreción de roles entre vigilantes-empresa-cliente, y cesiones improcedentes a quienes no les habilitase la ley….

    Me gusta

Los comentarios están cerrados.