Sáviat, Supera a tu competencia, Renueva tu imagen, Aumenta tus ventas
Sección Aecra

Consideraciones personales sobre el tratamiento y cesión de los datos en la actividad de las Centrales Receptoras de Alarmas

Jorge Salgueiro, presidente ejecutivo de Aecra29/10/2018

Recientemente, tras la entrada en vigor del nuevo Reglamento General de Protección de Datos el día 25 de mayo de 2018, son frecuentes las consultas planteadas por diversos Asociados y colaboradores de Aecra, particularmente en el ámbito de las Centrales Receptoras de Alarmas sobre el alcance de la cesión de datos surgidas en el desarrollo de dicha actividad dentro de un contrato de arrendamiento de servicios de seguridad y las posibles implicaciones con Empresas de Seguridad informática como Encargado del tratamiento de un fichero de clientes cuyo Responsable del Tratamiento es la Empresa de Seguridad (CRA).

Conviene destacar en lo que es objeto de la presente consulta como después veremos, que la nueva Ley de Seguridad Privada 5/2014 incorpora a las Empresas de seguridad informática a la realidad y modelo de la Seguridad Privada en los artículos 3 y 6 de dicho texto legal, cuando se establece:

Artículo 3 de la Ley de Seguridad Privada:

2. Igualmente, en la medida que resulte pertinente en cada caso, se aplicarán a los establecimientos obligados a disponer de medidas de seguridad, a los usuarios de los servicios de seguridad privada, a los ingenieros y técnicos de las empresas de seguridad, a los operadores de seguridad, a los profesores de centros de formación, a las empresas prestadoras de servicios de seguridad informática, a las centrales receptoras de alarmas de uso propio y a los centros de formación de personal de seguridad privada.

foto
Jorge Salgueiro, presidente ejecutivo de Aecra.

Artículo 6 de la Ley de Seguridad Privada:

6. A las empresas, sean o no de seguridad privada, que se dediquen a las actividades de seguridad informática, entendida como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquéllos prestan, por su incidencia directa en la seguridad de las entidades públicas y privadas, se les podrán imponer reglamentariamente requisitos específicos para garantizar la calidad de los servicios que presten.

De lo señalado en la ley de seguridad privada parece concluirse algo fundamental: que el futuro Reglamento de Seguridad Privada está obligado a concretar o determinar aquellos requisitos específicos dirigidos a garantizar la participación de dichas Empresas de Seguridad informática en el Modelo de la Seguridad Privada como parte integrante de la Seguridad Pública.

Del modelo de la Seguridad Privada, como actividades complementarias y subordinadas a la seguridad Publica que deben destinar sus recursos y medios al cumplimiento de los fines del artículo 4 de la Ley 5/2014 de Seguridad Privada, del cual no se hallarían al margen por la exigencia de requisitos específicos en el futuro Reglamento de Seguridad Privada, de acuerdo con una limitación contemplada en el ámbito territorial y material de aplicación se extendería a las empresas de seguridad informática e incluso de telecomunicaciones.

De forma expresa indicamos que este modelo de seguridad privada viene claramente expuesto en el Preámbulo de la Ley 5/2014 de 4 de abril de Seguridad Privada cuando se afirma:

“Los Estados, al establecer el modelo legal de seguridad privada, lo perfilan como la forma en la que los agentes privados contribuyen a la minoración de posibles riesgos asociados a su actividad industrial o mercantil, obtienen seguridad adicional más allá de la que provee la seguridad pública o satisfacen sus necesidades de información profesional con la investigación de asuntos de su legítimo interés. En esta óptica, la existencia de la seguridad privada se configura como una medida de anticipación y prevención frente a posibles riesgos, peligros o delitos. La consideración de la seguridad privada como una actividad con entidad propia, pero a la vez como parte integrante de la seguridad pública, es hoy un hecho innegable.

No solo en España sino fundamentalmente en nuestro entorno europeo, la seguridad privada se ha convertido en un verdadero actor de las políticas globales y nacionales de seguridad.

En los últimos años se han producido notables avances en la consideración ciudadana y en el replanteamiento del papel del sector privado de la seguridad, reconociéndose la importancia, eficacia y eficiencia de las alianzas público-privadas como medio para hacer frente y resolver los problemas acuciantes y variados de seguridad que se producen en la sociedad. Cada vez más, la seguridad privada se considera una parte indispensable del conjunto de medidas destinadas a la protección de la sociedad y a la defensa de los derechos y legítimos intereses de los ciudadanos.

En la relación especial que mantiene la seguridad privada con las Fuerzas y Cuerpos de Seguridad, auténticos garantes del sistema de libertades y derechos que constitucionalmente protegen, se hace necesario avanzar en fórmulas jurídicas que reconozcan el papel auxiliar y especialmente colaborador desempeñado por la seguridad privada, de forma que, además de integrar funcionalmente sus capacidades en el sistema público de seguridad, les haga partícipes de la información que resulte necesaria para el mejor cumplimiento de sus deberes”.

Como refuerzo a esta línea argumental, destacar que desde la Unión Europea viene desarrollándose un proceso de armonización normativo como espacio único en el ámbito de la seguridad y la protección de datos de carácter personal a través de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, así como a través del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

foto

El nuevo Reglamento General de Protección de Datos resulta aplicable de acuerdo con el artículo 2 de este texto reglamentario a nivel material al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero, estableciendo una excepción respecto:

b. A la actividad de las autoridades con fines de prevención o investigación de delitos o de protección de la seguridad pública.

Por consiguiente, de la lectura de este artículo, del carácter complementario y subordinado de la seguridad privada frente a la pública, parece desprenderse que el citado tratamiento de datos que pueda producirse en la Seguridad Privada podrá determinarse en una normativa específica en cada Estado miembro de la Unión Europea a través de su Derecho interno especial.

Respecto de las Empresas de Seguridad Informática y de protección de la información, parece interpretarse que los todos tratamientos de datos que puedan producirse en las actividades de seguridad privada, deberán realizarse en el ámbito de la Unión Europea, dado que toda cesión de información fuera de la unión europea requiere de autorización específica prevista en el Capítulo V del citado texto Reglamentario.

Como después veremos todos los tratamientos de datos que puedan desarrollarse por las Empresas de Seguridad con Empresas de Seguridad Informática se hallan limitados al ámbito europeo y normativa de Seguridad privada vigente en España y a sus futuros desarrollos reglamentarios.

La Exposición de motivos del nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) en su considerando 19 al considerarlo como un acto jurídico específico que está previsto en la a Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (7) y analizar de qué manera se producirá su aplicación al sector de la seguridad privada en España a través de un futuro desarrollo reglamentario y la introducción de disposición específicas en el ámbito normativo de la Seguridad Privada en relación al tratamiento de datos incluidas las transferencias de datos con terceros países no incluidos en la Unión Europea.

“La protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública y la libre circulación de estos datos y su prevención, es objeto de un acto jurídico específico a nivel de la Unión. El presente Reglamento no debe, por lo tanto, aplicarse a las actividades de tratamiento destinadas a tales fines.

No obstante, los datos personales tratados por las autoridades públicas en aplicación del presente Reglamento deben, si se destinan a tales fines, regirse por un acto jurídico de la Unión más específico, concretamente la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (1).

Los Estados miembros pueden encomendar a las autoridades competentes, tal como se definen en la Directiva (UE) 2016/680, funciones que no se lleven a cabo necesariamente con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluida la protección frente a las amenazas a la seguridad pública y su prevención, de tal forma que el tratamiento de datos personales para estos otros fines, en la medida en que esté incluido en el ámbito del Derecho de la Unión, entra en el ámbito de aplicación del presente Reglamento.

En lo que respecta al tratamiento de datos personales por parte de dichas autoridades competentes con fines que entren en el ámbito de aplicación del presente Reglamento, los Estados miembros deben tener la posibilidad de mantener o introducir disposiciones más específicas para adaptar la aplicación de las normas del presente Reglamento. Tales disposiciones pueden establecer de forma más precisa requisitos concretos para el tratamiento de datos personales con otros fines por parte de dichas autoridades competentes, tomando en consideración la estructura constitucional, organizativa y administrativa del Estado miembro en cuestión. Cuando el tratamiento de datos personales por organismos privados entre en el ámbito de aplicación del presente Reglamento, este debe disponer que los Estados miembros puedan, en condiciones específicas, limitar conforme a Derecho determinadas obligaciones y derechos siempre que dicha limitación sea una medida necesaria y proporcionada en una sociedad democrática para proteger intereses específicos importantes, entre ellos la seguridad pública y la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, inclusive la protección frente a las amenazas contra la seguridad pública y su prevención. Esto se aplica, por ejemplo, en el marco de la lucha contra el blanqueo de capitales o de las actividades de los laboratorios de policía científica”.

Por su parte, la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como Directiva sobre ciberseguridad o Directiva NIS, o objetivo formalizar “un planteamiento global en la Unión que integre requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales.”

Se considera que las redes y sistemas de información “desempeñan un papel crucial en la sociedad”, por lo que “su fiabilidad y seguridad son esenciales para las actividades económicas y sociales, y en particular para el funcionamiento del mercado interior”.

Sin embargo, “La magnitud, la frecuencia y los efectos de los incidentes de seguridad se están incrementando y representan una grave amenaza para el funcionamiento de las redes y sistemas de información”.

Por ello esta Directiva que debiera hallarse traspuesta en España con adaptación de nuestro Derecho interno desde el 09 de mayo de 2018 a dicha realidad normativa europea, “debe aplicarse tanto a los operadores de servicios esenciales como a los proveedores de servicios digitales”, pero no a las empresas que suministren redes públicas de comunicaciones o presten servicios de comunicaciones electrónicas disponibles para el público, ni a los prestadores de servicios de confianza definidos en el Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, que están sujetos a los requisitos de seguridad establecidos en dicho Reglamento”.

Como consideración relevante, queremos manifestar para las Empresas de Seguridad informática y de seguridad de la información que deseen desarrollar su actividad en los servicios de seguridad privada España vienen obligadas, tal y como ocurre en el considerando 19 antes reseñado en el Reglamento Europeo de Protección de Datos, a adoptar las medidas necesarias y disposiciones normativas específicas para garantizar la protección de los intereses esenciales de su seguridad, preservar el orden público y la seguridad pública, que bien pudieran ser insertadas en el futuro Reglamento de Seguridad Privada en el ámbito de la ciberseguridad o hacerse un tratamiento específico en la futura Ley de ciberseguridad específicas para el sector de la seguridad privada.

A tal fin, la Directiva establece:

  • Obligaciones para todos los Estados miembros de adoptar una estrategia nacional de seguridad de las redes y sistemas de información;
  • Crea un Grupo de cooperación para apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros y desarrollar la confianza y seguridad entre ellos;
  • Crea una red de equipos de respuesta a incidentes de seguridad informática (en lo sucesivo, «red de CSIRT», por sus siglas en inglés de «computer security incident response teams») con el fin de contribuir al desarrollo de la confianza y seguridad entre los Estados miembros y promover una cooperación operativa rápida y eficaz; y
  • Establece requisitos en materia de seguridad y notificación para los operadores de servicios esenciales y para los proveedores de servicios digitales.

Así pues, existen determinados preceptos en la actual Ley 5/2014 de seguridad que suponen que el tratamiento y cesión de datos que pueda realizarse por una Empresa de Seguridad tal y como una Central Receptora de Alarmas durante el desarrollo de las actividades para las que se haya autorizado, estará limitado a los fines del artículo 4 del mismo texto legal así como al deber de colaboración impuesto a dichas Empresas en el Título I de la Ley 5/2014 de 4 de abril de Seguridad Privada, en concreto en el artículo 15, y por ende se someterá en el tratamiento de datos del desarrollo como Empresa de Seguridad a la normativa de protección de datos vigente en España.

Artículo 15. Acceso a la información por las Fuerzas y Cuerpos de Seguridad

  1. Se autorizan las cesiones de datos que se consideren necesarias para contribuir a la salvaguarda de la seguridad ciudadana, así como el acceso por parte de las Fuerzas y Cuerpos de Seguridad a los sistemas instalados por las empresas de seguridad privada que permitan la comprobación de las informaciones en tiempo real cuando ello sea necesario para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales.
  2. El tratamiento de datos de carácter personal, así como los ficheros, automatizados o no, creados para el cumplimiento de esta ley se someterán a lo dispuesto en la normativa de protección de datos de carácter personal.

Sobre la vinculación de la Seguridad privada a la Seguridad Publica como parte integrante de la misma que legitima su control y supervisión en desarrollo de la actividad por las Empresas de Seguridad, y qué prestación de los servicios de seguridad se someta a determinadas condiciones en el tratamiento de los datos viene recogido en el artículo 1 de la Ley de Seguridad Privada:

  1. (...)Todas estas actividades tienen la consideración de complementarias y subordinadas respecto de la seguridad pública.
  2. Asimismo, esta ley, en beneficio de la seguridad pública, establece el marco para la más eficiente coordinación de los servicios de seguridad privada con los de las Fuerzas y Cuerpos de Seguridad, de los que son complementarios.

En el mismo sentido el Artículo 8 relativo a los Principios rectores de las Empresas de Seguridad, tal y como una Central Receptora de Alarmas:

1. Los servicios y funciones de seguridad privada se prestarán con respeto a la Constitución, a lo dispuesto en esta ley, especialmente en lo referente a los principios de actuación establecidos en el artículo 30, y al resto del ordenamiento jurídico.

4. Las empresas, los despachos y el personal de seguridad privada:

c) Tendrán prohibido comunicar a terceros, salvo a las autoridades judiciales y policiales para el ejercicio de sus respectivas funciones, cualquier información que conozcan en el desarrollo de sus servicios y funciones sobre sus clientes o personas relacionadas con éstos, así como sobre los bienes y efectos de cuya seguridad o investigación estuvieran encargados.

5. El Ministro del Interior o, en su caso, el titular del órgano autonómico competente prohibirá la utilización en los servicios de seguridad privada de determinados medios materiales o técnicos cuando pudieran causar daños o perjuicios a terceros o poner en peligro la seguridad ciudadana.

En el mismo sentido se pronuncia el Artículo 10 al mencionar como Prohibiciones impuestas a las Empresas de Seguridad:

1. Con carácter general y además de otras prohibiciones contenidas en esta ley, se establecen las siguientes:

c) La prestación de servicios de seguridad privada incumpliendo los requisitos o condiciones legales de prestación de los mismos.

d) El empleo o utilización, en servicios de seguridad privada, de medios o medidas de seguridad no homologadas cuando sea preceptivo, o de medidas o medios personales, materiales o técnicos de forma tal que atenten contra el derecho al honor, a la intimidad personal o familiar o a la propia imagen o al secreto de las comunicaciones, o cuando incumplan las condiciones o requisitos establecidos en esta ley y en su normativa de desarrollo.

foto

El Artículo 14, en lo relativo a las condiciones para desarrollar la Colaboración profesional con la Seguridad Pública, determina que:

  1. La especial obligación de colaboración de las empresas de seguridad, (...)con las Fuerzas y Cuerpos de Seguridad se desarrollará con sujeción al principio de legalidad y se basará exclusivamente en la necesidad de asegurar el buen fin de las actuaciones tendentes a preservar la seguridad pública, garantizándose la debida reserva y confidencialidad cuando sea necesario.
  2. Las empresas de seguridad (...) deberán comunicar a las Fuerzas y Cuerpos de Seguridad competentes, tan pronto como sea posible, cualesquiera circunstancias o informaciones relevantes para la prevención, el mantenimiento o restablecimiento de la seguridad ciudadana, así como todo hecho delictivo del que tuviesen conocimiento en el ejercicio de su actividad o funciones, poniendo a su disposición a los presuntos delincuentes, así como los instrumentos, efectos y pruebas relacionadas con los mismos.

En lo que respecta a las condiciones para cesión de datos de servicios y clientes frente a las autoridades policiales el artículo 15 del mismo texto legal dispone que:

  1. Se autorizan las cesiones de datos que se consideren necesarias para contribuir a la salvaguarda de la seguridad ciudadana, así como el acceso por parte de las Fuerzas y Cuerpos de Seguridad a los sistemas instalados por las empresas de seguridad privada que permitan la comprobación de las informaciones en tiempo real cuando ello sea necesario para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales.
  2. El tratamiento de datos de carácter personal, así como los ficheros, automatizados o no, creados para el cumplimiento de esta ley se someterán a lo dispuesto en la normativa de protección de datos de carácter personal.
  3. La comunicación de buena fe de información a las Fuerzas y Cuerpos de Seguridad por las entidades y el personal de seguridad privada no constituirá vulneración de las restricciones sobre divulgación de información impuestas por vía contractual o por cualquier disposición legal, reglamentaria o administrativa, cuando ello sea necesario para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales.

En cuanto a las obligaciones generales de las Empresas de seguridad se establece en el Artículo 21 de la ley de seguridad privada en su apartado 2 que “Asimismo, las empresas de seguridad privada vendrán obligadas a prestar especial auxilio y colaboración a las Fuerzas y Cuerpos de Seguridad, debiendo facilitar a éstas la información que se les requiera en relación con las competencias atribuidas a las mismas”.

Y en lo que se refiere al cuadro infractor aplicable a las Empresas de seguridad en lo que constituye el objeto del presente estudio, de acuerdo con el Artículo 57. Infracciones de las empresas que desarrollen actividades de seguridad privada, de sus representantes legales, de los despachos de detectives privados y de las centrales de alarma de uso propio se contempla como infracción muy grave.

q) El empleo o utilización, en servicios de seguridad privada, de medidas o de medios personales, materiales o técnicos de forma que se atente contra el derecho al honor, a la intimidad personal o familiar o a la propia imagen o al secreto de las comunicaciones, siempre que no constituyan delito.

Y como Infracciones graves:

y) La prestación de servicios de seguridad privada en condiciones distintas a las previstas en las comunicaciones de los correspondientes contratos.

De forma expresa el artículo 5 del Reglamento General de Protección de datos en relación al consentimiento que debe mediar en un contrato de servicios de seguridad privada, establece:

  • El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
  1. el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
  2. el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
  3. el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
  • Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento a tenor del capítulo IX.

La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes píblicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento.

De la lectura de los artículos antes expresados se desprende que las posibles cesiones de datos vienen determinadas por la normativa de seguridad privada tal y como hemos reseñado anteriormente, y deben venir concretadas, mencionadas frente al interesado o afectados, usuarios de servicios de seguridad privada, a través del contrato de arrendamiento de servicios de seguridad privada en el apartado relativo a las condiciones particulares o generales del servicio contratado.

Si la empresa de seguridad desea contratar un servicio de tratamiento de datos con una empresa de seguridad informática y de seguridad de la información, para tratamiento de los datos de clientes, comunicaciones telefónicas etc., además de hallarse sometida a las condiciones descritas en la normativa de seguridad privada vigentes, deberá hacerlo con una Empresa de Seguridad informática y de protección de datos que se halle ubicada en la Unión Europea, con sometimiento expreso en tal caso en cuanto al tratamiento de datos en lo no previsto de forma específica en la normativa de seguridad privada, y al Reglamento General de Protección de Datos.

En cualquier caso, quedamos a la espera de la aprobación del Gobierno de España de disposiciones normativas específicas en el ámbito de la seguridad privada que determinen los tratamientos de datos, así como las cesiones que puedan producirse en la ejecución de dichos servicios. Los tratamientos privados que puedan producirse entre la Empresa de Seguridad contratista y el usuario que no impliquen intervención policial o afecten a la seguridad pública o se someten de forma general a lo previsto en el Reglamento General de Protección de Datos, así como a la nueva Ley Orgánica de Protección de Datos y de garantía de los derechos digitales cuando se apruebe en España.

Empresas o entidades relacionadas

Asociación Europea de Profesionales para Conocimiento y Regulación de Actividades de Seguridad Ciudadana (AECRA)

Comentarios al artículo/noticia

Nuevo comentario

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

TOP PRODUCTS

SIMEC

Control de acceso y gestión

SIMEC

ENLACES DESTACADOS

Congreso @asLAN

ÚLTIMAS NOTICIAS

OPINIÓN

OTRAS SECCIONES

SERVICIOS