El Informe 0156/2014 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad de la cesión de imágenes de atracos en sucursales bancarias a entidades adheridas a un convenio, bajo la Ley Orgánica 15/1999 de Protección de Datos y su Reglamento de desarrollo. La consulta se centra en si esta cesión es lícita para prevenir futuros delitos.
La AEPD analiza la legitimación de la cesión bajo el artículo 7 f) de la Directiva 95/46/CE, que permite el tratamiento de datos personales si es necesario para satisfacer un interés legítimo, siempre que no prevalezcan los derechos y libertades fundamentales del interesado. La Sentencia del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011 y las posteriores del Tribunal Supremo de 8 de febrero de 2012 confirman el efecto directo de este artículo, exigiendo una ponderación de intereses en cada caso concreto.
El informe destaca que la finalidad de prevenir futuros delitos en entidades financieras es relevante, pero subraya la necesidad de proteger los derechos de empleados y clientes cuyas imágenes también se graban. El Convenio incluye varias garantías, como el deber de confidencialidad, la limitación de la finalidad del acceso a los datos, y la implementación de medidas de seguridad. Sin embargo, se sugieren mejoras, como la delimitación clara de las personas con acceso a las imágenes, la especificación de consecuencias por incumplimiento de normas de seguridad, y la fijación de un plazo máximo de conservación de las imágenes.
La AEPD concluye que, con las mejoras sugeridas, las cesiones de imágenes podrían considerarse lícitas bajo el artículo 7 f) de la Directiva 95/46/CE, siempre que se garantice un justo equilibrio entre los intereses legítimos y los derechos fundamentales de los afectados.