El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si una empresa que tiene un sistema de videovigilancia debe autorizar el visionado de grabaciones a terceros particulares que lo han solicitado. La AEPD aclara que su función no es determinar si la empresa «debe» autorizar el visionado, sino si la normativa de protección de datos lo permite.
El informe define «datos personales» según el Reglamento General de Protección de Datos (RGPD), que incluye cualquier información que permita identificar a una persona, directa o indirectamente. Las imágenes capturadas por un sistema de videovigilancia se consideran datos personales, al igual que otras informaciones como matrículas de vehículos o direcciones IP.
La videovigilancia se considera un tratamiento de datos personales, y cualquier operación realizada sobre estos datos, como la grabación y el visionado, está sujeta a la normativa de protección de datos. La cesión de datos personales a terceros solo está permitida si se basa en una de las causas legitimadoras establecidas en el artículo 6.1 del RGPD, como el consentimiento del interesado, el cumplimiento de una obligación legal, o la satisfacción de intereses legítimos.
En el caso específico, los terceros solicitan acceder a las grabaciones para ejercitar acciones judiciales o contractuales. La AEPD analiza si esta solicitud puede estar amparada por la obligación legal de denunciar delitos, según la Ley de Enjuiciamiento Criminal (LECr). Si se ha cometido un delito y la empresa no ha denunciado, la comunicación de los datos a las autoridades podría estar justificada.
Además, la AEPD considera que la cesión de datos puede estar amparada en el derecho a la tutela judicial efectiva, reconocido en el artículo 24 de la Constitución Española. Este derecho permite a las partes en un litigio utilizar los medios de prueba necesarios para su defensa, incluyendo datos personales.
El informe también destaca la importancia de la limitación de la finalidad y la minimización de datos. La comunicación de datos debe estar limitada a lo necesario para la finalidad solicitada, y no puede extenderse más allá de lo estrictamente necesario para resolver el incidente específico.
Finalmente, la AEPD concluye que, con las limitaciones mencionadas y tras una ponderación entre el derecho a la protección de datos y el derecho a la tutela judicial efectiva, la comunicación de datos solicitada no es contraria a la legislación de protección de datos. Sin embargo, la empresa debe asegurarse de que la cesión se realiza de manera que respete los principios de finalidad y minimización de datos.