Doing business in Spain? Interempresas Media is the key
Emagazines
Seguridad y Vigilancia
Sección Aecra

Criterios interpretativos personales sobre la protección de datos en las empresas de seguridad privada. Limitaciones en la contratación del servicio cloud computing

Jorge Salgueiro-Rodríguez, presidente Ejecutivo de Aecra

04/11/2019
El principio general aplicable al tratamiento de datos que pueda desarrollarse por las Empresas y personal de seguridad privada actualmente en España, viene determinado de conformidad con lo previsto por el nuevo RGDP y LOPD española, por la Ley de Seguridad Privada, sus normas de desarrollo. De forma complementaria la Empresa de Seguridad y sus clientes deberán sustentar la base jurídica en el tratamiento de datos que puedan recabarse al amparo de las condiciones generales y particulares pactadas en el contrato de arrendamiento de servicios de seguridad privada firmado entre Empresa y cliente, con especial mención a la Declaración escrita de tratamiento expresada en el artículo 28.3 del RGPD.

Las operaciones de tratamiento de datos desarrolladas por las Empresas de Seguridad durante la prestación de sus servicios deberán estar destinadas en caso de tratarse de información relevante para la prevención, mantenimiento o restablecimiento de la seguridad ciudadana a su cesión a la Seguridad Publica, dado el carácter complementario y subordinado que las Empresas y personal de seguridad privada tienen frente a la Seguridad Publica.

foto
Jorge Salgueiro-Rodríguez, presidente Ejecutivo de Aecra.

Todo este tratamiento de datos especial determinado por una normativa interna española resulta aplicable a los servicios de seguridad privada.

Sin duda alguna que este especial tratamiento aplicable viene amparado en el Considerando 45 del RGPD, en relación con el artículo 6 letras c) y e) del mismo texto reglamentario, cuando se afirma literalmente:

“Cuando se realice en cumplimiento de una obligación legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, el tratamiento debe tener una base en el Derecho de la Unión o de los Estados miembros. Una norma puede ser suficiente como base para varias operaciones de tratamiento de datos basadas en una obligación legal aplicable al responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos. La finalidad del tratamiento también debe determinase en virtud del Derecho de la Unión o de los Estados miembros”.

Además, dicha norma (añado disposición reglamentaria de Seguridad Privada en España pendiente de aprobación a fecha actual) debería especificar y desarrollar las condiciones generales del presente Reglamento por las que se rige la licitud del tratamiento de datos personales, establecer especificaciones para la determinación del responsable del tratamiento, el tipo de datos personales objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservación de los datos y otras medidas para garantizar un tratamiento licito y leal”.

Este especial tratamiento atribuido a las Empresas y personal de seguridad privada por la Legislación de Seguridad Privada en las operaciones de tratamiento de datos, viene posteriormente ratificado en el artículo 2 apartado 3 de la Ley Orgánica Española 3/2018 de 5 de diciembre de Protección de Datos Personales y garantía de derechos digitales, relativo al ámbito de aplicación de la LOPD respecto de las actividades/servicios de seguridad privada, cuando establece:

“3. Los tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación especifica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica”.

Las operaciones de tratamiento de datos desarrolladas actualmente por las empresas de seguridad privada autorizadas en España se hallan limitadas normativamente tanto en el acceso como en el tratamiento y conservación de los datos personales producidos durante el desarrollo de su actividad a lo determinado y fijado por la normativa de seguridad privada de España.

A título de ejemplo, los servicios de gestión de señales de alarma prestados por las Centrales Receptoras de Alarmas (CRA) son servicios de seguridad privada limitados en cuanto a las operaciones de tratamiento de datos básicas tales como el acceso a dicha información por personal autorizado por la normativa de seguridad privada. Por consiguiente, estaría totalmente prohibido que personal no integrado en dichas Empresas de Seguridad y que sea declarado ante la autoridad policial competente realicen operaciones de tratamiento de datos.

foto

La Seguridad Pública y Privada son hoy materias de competencia exclusiva de los Estados de la Unión Europea.

Dicha situación se complica ante la posible contratación de medios o servicios de cloud computing por una Empresa de Seguridad tal y como una Central Receptora de Alarmas respecto de las operaciones de tratamiento de datos generadas durante el desarrollo o prestación de estos servicios de seguridad privada por verse afectados interesados tales como las fuerzas policiales o los clientes.

Así las restricciones o limitaciones a nivel de medios o medidas de seguridad a emplearse por las empresas de seguridad en la ejecución de sus servicios en España, provienen del concepto de homologación que es reconocido legalmente al Ministerio de Interior y que debe obtenerse antes de su empleo por las Empresas de seguridad dado el ámbito de aplicación al que se hallan sometidas.

La Seguridad Pública y Privada son hoy materias de competencia exclusiva de los Estados de la Unión Europea al no existir una Directiva Europea que contemple en un ámbito supranacional de competencias a la Unión Europea en materia de Seguridad Privada y Pública.

El Reglamento General Europeo de Protección de Datos (RGPD) reconoce dicha excepción a la Seguridad Publica en España y le confiere la posibilidad de regular el régimen de tratamiento de datos en dicho ámbito normativo específico subordinado que es la Seguridad Privada.

El ámbito territorial aplicable a las medidas y medios empleados por las Empresas de Seguridad en la ejecución de sus servicios de seguridad privada tal y como los servicios de comunicaciones o de cloud computing, interpreto viene limitado en cuanto a su alcance, por la normativa de seguridad privada vigente, al territorio español.

Así́ pues, debemos suponer que la información relevante para la seguridad ciudadana en España que haya podido recopilarse por una Empresa de seguridad durante la prestación de servicios de seguridad privada, deberá ser tratada por la Empresa de Seguridad a través de servidores de almacenamiento radicados físicamente de forma exclusiva en España.

Los datos sometidos a la normativa de seguridad privada y con limitación territorial respecto de su almacenamiento en materia de protección de datos, vienen enumerados tanto en dicha Normativa como en el concepto de información relevante para la seguridad ciudadana española.

Por último, deseo expresar que si bien no existe un precepto o artículo en la normativa de seguridad privada en España que de forma expresa prohíba la contratación de un servicio de cloud computing en cualquier otro Estado miembro de la UE de conformidad con el RGPD, mi opinión es que concurren dichas limitaciones o restricciones en dicha contratación por una Empresa de Seguridad.

foto

Las operaciones de tratamiento de datos desarrolladas actualmente por las empresas de seguridad privada autorizadas en España se hallan limitadas normativamente a lo determinado por la normativa de seguridad privada de España.

Dichas limitaciones ya expuestas exigen la contratación por la Empresa de Seguridad con un proveedor de servicios de cloud computing cuya unidad de almacenamiento tenga una ubicación física en territorio español y que dicho medida esté certificada.

No debemos ignorar que la seguridad pública y la información obtenida o recabada en su ejecución es una materia reservada de forma exclusiva al Estado Español. La seguridad privada igualmente conforme a la Exposición de motivos de la Ley 5/2014 de 4 de abril ostenta la condición de una actividad subordinada a la seguridad pública. Ahora bien, entiendo que para mayor seguridad jurídica es preciso que el legislador español aprueba una disposición reglamentaria de desarrollo en dicho ámbito normativo, siendo razones de seguridad nacional las que justifican su razonada adopción.

Empresas o entidades relacionadas

Asociación Europea de Profesionales para Conocimiento y Regulación de Actividades de Seguridad Ciudadana

Comentarios al artículo/noticia

Nuevo comentario

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

TOP PRODUCTS

SIMEC

Control de acceso y gestión

SIMEC

ENLACES DESTACADOS

Smart Doors - IFEMA - Feria de Madrid

ÚLTIMAS NOTICIAS

OPINIÓN

Durmiendo con el enemigo

La lista de infiltrados internos potencialmente peligrosos está encabezada por los usuarios y administradores de TI con privilegios

OTRAS SECCIONES

SERVICIOS