El informe jurídico 0209/2009 de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si una empresa de seguridad que presta servicios de visualización y grabación de imágenes en momentos específicos, como cuando salta una alarma, debe formalizar un contrato de encargado del tratamiento conforme al artículo 12 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD).
El informe se basa en la Guía de Videovigilancia publicada por la AEPD, que distingue entre diferentes tipos de servicios que pueden prestar las empresas de seguridad en relación con la videovigilancia. Según esta guía, existen dos escenarios principales:
1. **Instalación y mantenimiento técnico sin acceso a las imágenes**: En este caso, la empresa de seguridad no tiene acceso a las imágenes grabadas, por lo que no se considera encargada del tratamiento. La responsabilidad recae en el cliente que contrató el servicio, quien debe asegurarse de que la instalación cumpla con los requisitos normativos.
2. **Instalación y mantenimiento con acceso a las imágenes**: Aquí, la empresa de seguridad sí tiene acceso a las imágenes, ya sea para la prestación del servicio o para la grabación de eventos específicos. En este escenario, la empresa de seguridad se considera encargada del tratamiento y debe cumplir con las obligaciones establecidas en el artículo 12 de la LOPD. Esto implica la necesidad de formalizar un contrato que regule el acceso y tratamiento de los datos, asegurando que se realice conforme a las instrucciones del responsable del tratamiento y que se implementen las medidas de seguridad adecuadas.
El informe concluye que es necesario que las empresas de seguridad formalicen un contrato de encargado del tratamiento cuando accedan por control remoto a las imágenes, especialmente cuando los clientes son empresas u órganos corporativos. Sin embargo, si el servicio se instala en un domicilio particular y solo se accede a las imágenes cuando salta la alarma, la LOPD no se aplica, ya que se trata de un ámbito personal y doméstico, según el artículo 2.a) de la ley.
No obstante, la empresa de seguridad adquiere la condición de responsable del fichero de gestión de sistemas de videovigilancia cuando instala el sistema en el domicilio particular de una persona física, dado que no resulta aplicable la excepción del artículo 2.a de la LOPD en este contexto.
En resumen, el informe subraya la importancia de formalizar contratos de encargado del tratamiento en los casos en que las empresas de seguridad accedan a las imágenes grabadas, asegurando así el cumplimiento de la normativa de protección de datos y la implementación de las medidas de seguridad necesarias.