El Informe 0672/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda dos cuestiones principales relacionadas con la videovigilancia y la protección de datos personales.
En primer lugar, se analiza la aplicabilidad de la medida de seguridad consistente en la realización semanal de una copia de respaldo de las cintas de videovigilancia. Según la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y su normativa de desarrollo, el responsable de la instalación de cámaras de videovigilancia debe garantizar la seguridad de las imágenes grabadas. La Instrucción 1/2006 de la AEPD establece que se deben adoptar medidas técnicas y organizativas para evitar la alteración, pérdida, tratamiento o acceso no autorizado de los datos. El Reglamento de desarrollo de la LOPD, aprobado por el Real Decreto 1720/2007, especifica que se deben establecer procedimientos para realizar copias de respaldo al menos semanalmente, salvo que no haya habido actualizaciones de datos en ese período. Esta obligación es aplicable a cualquier fichero automatizado, incluyendo los resultantes de la grabación de imágenes con fines de videovigilancia.
En segundo lugar, el informe se pregunta si debe eliminarse mensualmente toda la información recogida a través de cámaras, incluida la que se encuentre en las copias de seguridad. La Instrucción 1/2006 establece que los datos deben ser cancelados en un plazo máximo de un mes desde su captación. Sin embargo, la cancelación no implica la eliminación automática de los datos, sino su bloqueo. Según el artículo 16.3 de la LOPD, la cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Transcurrido dicho plazo, se debe proceder a la supresión de los datos.
El Reglamento de desarrollo de la LOPD define la cancelación como el procedimiento en virtud del cual el responsable cesa en el uso de los datos, implicando el bloqueo de los mismos para impedir su tratamiento, excepto para su puesta a disposición de las autoridades competentes. La AEPD ha señalado que los plazos de prescripción de responsabilidades pueden variar dependiendo de la normativa aplicable, como la tributaria o la propia LOPD, que establece un plazo de prescripción de tres años para las conductas constitutivas de infracción muy grave.
En el caso específico de la videovigilancia, las imágenes pueden constatar la comisión de un delito o una infracción administrativa, por lo que deben conservarse a disposición de las autoridades competentes. Por lo tanto, el plazo de un mes señalado en la Instrucción 1/2006 es un plazo máximo para la cancelación de datos, no para su eliminación, que estará sujeta al transcurso de los plazos de prescripción de responsabilidades. Las copias de respaldo estarán sometidas a los mismos plazos para la supresión de los datos que el original del que proceden.
En resumen, el informe subraya la importancia de cumplir con las medidas de seguridad establecidas por la LOPD y su normativa de desarrollo, asegurando la protección de los datos personales capturados por sistemas de videovigilancia y estableciendo procedimientos claros para la cancelación y supresión de dichos datos.