El Informe 0135/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la creación de un nuevo sistema de videovigilancia en el que los clientes pueden acceder a las imágenes grabadas, incluso de las últimas 48 horas, a través de un servidor remoto. La cuestión planteada es si este acceso obliga al cliente a dar de alta un nuevo fichero según la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
El informe concluye que no es necesario que el cliente dé de alta un nuevo fichero. En lugar de crear su propio fichero, el cliente accede al sistema de videovigilancia gestionado por la entidad consultante. Este acceso se enmarca dentro del concepto de «usuario del sistema» definido en el Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por el Real Decreto 1720/2007. Según este reglamento, un «usuario» es cualquier sujeto o proceso autorizado para acceder a datos o recursos, y el «perfil de usuario» define el tipo de información y acciones que puede realizar.
La entidad consultante debe considerar al cliente como un usuario del sistema y regular su acceso conforme a lo establecido en el artículo 91 del Real Decreto 1720/2007. Esto implica que el acceso del cliente debe ser controlado y registrado, y que solo el personal autorizado puede conceder, alterar o anular los accesos. Además, el documento de seguridad debe reflejar estos controles de acceso, tal como se detalla en el artículo 88 del mismo reglamento.
El informe subraya la importancia de que el acceso físico a los equipos que soportan los sistemas de información también esté regulado, conforme al artículo 99 del Real Decreto 1720/2007. Solo el personal autorizado en el documento de seguridad puede tener acceso a estos lugares.
En resumen, la AEPD determina que el cliente no necesita dar de alta un nuevo fichero, pero la entidad consultante debe gestionar y controlar el acceso del cliente al sistema de videovigilancia, asegurando que se cumplan todas las normativas de protección de datos y seguridad establecidas en el Reglamento de desarrollo de la Ley Orgánica 15/1999.