Criterios interpretativos personales sobre la protección de datos en las empresas de seguridad privada. Limitaciones en la contratación del servicio cloud computing
Jorge Salgueiro-Rodríguez, presidente Ejecutivo de Aecra
04/11/2019Las operaciones de tratamiento de datos desarrolladas por las Empresas de Seguridad durante la prestación de sus servicios deberán estar destinadas en caso de tratarse de información relevante para la prevención, mantenimiento o restablecimiento de la seguridad ciudadana a su cesión a la Seguridad Publica, dado el carácter complementario y subordinado que las Empresas y personal de seguridad privada tienen frente a la Seguridad Publica.
Todo este tratamiento de datos especial determinado por una normativa interna española resulta aplicable a los servicios de seguridad privada.
Sin duda alguna que este especial tratamiento aplicable viene amparado en el Considerando 45 del RGPD, en relación con el artículo 6 letras c) y e) del mismo texto reglamentario, cuando se afirma literalmente:
“Cuando se realice en cumplimiento de una obligación legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, el tratamiento debe tener una base en el Derecho de la Unión o de los Estados miembros. Una norma puede ser suficiente como base para varias operaciones de tratamiento de datos basadas en una obligación legal aplicable al responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos. La finalidad del tratamiento también debe determinase en virtud del Derecho de la Unión o de los Estados miembros”.
Además, dicha norma (añado disposición reglamentaria de Seguridad Privada en España pendiente de aprobación a fecha actual) debería especificar y desarrollar las condiciones generales del presente Reglamento por las que se rige la licitud del tratamiento de datos personales, establecer especificaciones para la determinación del responsable del tratamiento, el tipo de datos personales objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservación de los datos y otras medidas para garantizar un tratamiento licito y leal”.
Este especial tratamiento atribuido a las Empresas y personal de seguridad privada por la Legislación de Seguridad Privada en las operaciones de tratamiento de datos, viene posteriormente ratificado en el artículo 2 apartado 3 de la Ley Orgánica Española 3/2018 de 5 de diciembre de Protección de Datos Personales y garantía de derechos digitales, relativo al ámbito de aplicación de la LOPD respecto de las actividades/servicios de seguridad privada, cuando establece:
“3. Los tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación especifica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica”.
Las operaciones de tratamiento de datos desarrolladas actualmente por las empresas de seguridad privada autorizadas en España se hallan limitadas normativamente tanto en el acceso como en el tratamiento y conservación de los datos personales producidos durante el desarrollo de su actividad a lo determinado y fijado por la normativa de seguridad privada de España.
A título de ejemplo, los servicios de gestión de señales de alarma prestados por las Centrales Receptoras de Alarmas (CRA) son servicios de seguridad privada limitados en cuanto a las operaciones de tratamiento de datos básicas tales como el acceso a dicha información por personal autorizado por la normativa de seguridad privada. Por consiguiente, estaría totalmente prohibido que personal no integrado en dichas Empresas de Seguridad y que sea declarado ante la autoridad policial competente realicen operaciones de tratamiento de datos.
La Seguridad Pública y Privada son hoy materias de competencia exclusiva de los Estados de la Unión Europea.
Dicha situación se complica ante la posible contratación de medios o servicios de cloud computing por una Empresa de Seguridad tal y como una Central Receptora de Alarmas respecto de las operaciones de tratamiento de datos generadas durante el desarrollo o prestación de estos servicios de seguridad privada por verse afectados interesados tales como las fuerzas policiales o los clientes.
Así las restricciones o limitaciones a nivel de medios o medidas de seguridad a emplearse por las empresas de seguridad en la ejecución de sus servicios en España, provienen del concepto de homologación que es reconocido legalmente al Ministerio de Interior y que debe obtenerse antes de su empleo por las Empresas de seguridad dado el ámbito de aplicación al que se hallan sometidas.
La Seguridad Pública y Privada son hoy materias de competencia exclusiva de los Estados de la Unión Europea al no existir una Directiva Europea que contemple en un ámbito supranacional de competencias a la Unión Europea en materia de Seguridad Privada y Pública.
El Reglamento General Europeo de Protección de Datos (RGPD) reconoce dicha excepción a la Seguridad Publica en España y le confiere la posibilidad de regular el régimen de tratamiento de datos en dicho ámbito normativo específico subordinado que es la Seguridad Privada.
El ámbito territorial aplicable a las medidas y medios empleados por las Empresas de Seguridad en la ejecución de sus servicios de seguridad privada tal y como los servicios de comunicaciones o de cloud computing, interpreto viene limitado en cuanto a su alcance, por la normativa de seguridad privada vigente, al territorio español.
Así́ pues, debemos suponer que la información relevante para la seguridad ciudadana en España que haya podido recopilarse por una Empresa de seguridad durante la prestación de servicios de seguridad privada, deberá ser tratada por la Empresa de Seguridad a través de servidores de almacenamiento radicados físicamente de forma exclusiva en España.
Los datos sometidos a la normativa de seguridad privada y con limitación territorial respecto de su almacenamiento en materia de protección de datos, vienen enumerados tanto en dicha Normativa como en el concepto de información relevante para la seguridad ciudadana española.
Por último, deseo expresar que si bien no existe un precepto o artículo en la normativa de seguridad privada en España que de forma expresa prohíba la contratación de un servicio de cloud computing en cualquier otro Estado miembro de la UE de conformidad con el RGPD, mi opinión es que concurren dichas limitaciones o restricciones en dicha contratación por una Empresa de Seguridad.
Las operaciones de tratamiento de datos desarrolladas actualmente por las empresas de seguridad privada autorizadas en España se hallan limitadas normativamente a lo determinado por la normativa de seguridad privada de España.
Dichas limitaciones ya expuestas exigen la contratación por la Empresa de Seguridad con un proveedor de servicios de cloud computing cuya unidad de almacenamiento tenga una ubicación física en territorio español y que dicho medida esté certificada.
No debemos ignorar que la seguridad pública y la información obtenida o recabada en su ejecución es una materia reservada de forma exclusiva al Estado Español. La seguridad privada igualmente conforme a la Exposición de motivos de la Ley 5/2014 de 4 de abril ostenta la condición de una actividad subordinada a la seguridad pública. Ahora bien, entiendo que para mayor seguridad jurídica es preciso que el legislador español aprueba una disposición reglamentaria de desarrollo en dicho ámbito normativo, siendo razones de seguridad nacional las que justifican su razonada adopción.
